COOPERATIVA PERSONA OBLIGADA, RESPONSABILIDAD LIMITADA

COPO, R. L.

RISK MANAGEMENT

MIXCO, GUATEMALA, GUATEMALA.

1
 CONTENIDO

INTRODUCCION

I. ANTECEDENTES

II. CONCEPTOS BASICOS

III. OBJETIVOS

IV. RISK MANAGEMENT

V. TIPOS DE RIESGOS

VI. ACTIVIDADES ILICITAS

VII. SISTEMA DE EVALUACION DE RIESGOS SEGÚN COSO II

VIII. ESTANDAR AUSTRALIANO PARA LA ADMINISTRACION DE

RIESGO

2
INTRODUCCIÓN

El objetivo de introducir la gestión de riesgo en la Cooperativa Persona Obligada, R. L., es

para fortalecer integralmente la creciente área de ahorro y crédito en la cooperativa desde
todos sus ángulos, poniendo especial esfuerzo en mitigar el riesgo que pudiera existir en
determinados eventos que representen un mayor peligro, para lograr una economía más
sólida para la cooperativa.

Dado el cambio tan drástico que significa generar una gestión de riesgos, es necesario que
este se realice de forma coordinada entre todos los actores de la cooperativa es decir
Directivos, Gerencia y trabajadores y con ello también buscar la prevención contra el lavado
de dinero y el financiamiento al terrorismo.

Por otra parte, el reto que representa para los sujetos obligados del sector financiero radica,
realmente, en la poca experiencia que se tiene a nivel país en la gestión de riesgos en términos
generales, y en el desconocimiento constante de la importancia de contar con áreas
encargadas de la prevención de lavado de dinero al interior de las entidades financieras. Así,
lo que hace algunos años bien pudo haber sido visto como una labor “no tan necesaria” para
el funcionamiento de las entidades financieras e inclusive como “un gasto”, hoy en día se trata
de un valor agregado.

Y más que eso, se está viendo como una necesidad creciente el contar con esas áreas, pues
al establecer éstas los controles y medidas necesarias, se fortalecen desde el interior de esas
entidades, logrando que todos los sujetos que componen al sector financiero puedan impactar
de manera positiva en el desarrollo de la economía nacional.

Sin embargo, no se trata de una tarea fácil, pues en el país aún se encuentra en una fase de
profesionalizar al sector financiero y a las personas que en él laboran. Tal es el caso de la
certificación a “oficiales de cumplimiento”, que por sí misma es un claro ejemplo de la manera
en la cual las autoridades supervisoras buscan contar con personal altamente capacitado al
interior de las entidades financieras, consciente de su responsabilidad no sólo con la
autoridad, sino con los organismos internacionales de los cuales son miembros en la tarea
global de la prevención del lavado de activos.

I. ANTECEDENTES

A través de la historia el hombre convive con riesgos que pueden ser provocados por los
fenómenos de la naturaleza, el desarrollo tecnológico desarrollado por él mismo, los actos
malintencionados generados por los seres humanos y otros riesgos. Desde sus primeros
pasos hasta el gran salto de la era industrial, en que las estructuras sociales se hacen
extremadamente complejas, la convivencia con los riesgos se producía de forma natural.
A partir de la revolución industrial iniciada en el siglo diecinueve, las condiciones
de producción y de la vida ciudadana en general crean y se ven expuestas a nuevos y más
graves riesgos, que precisan de una respuesta acorde con la innovación y la importancia que
entrañan.
En esa dinámica acelerada del desarrollo industrial, se alcanzan los años cincuenta del siglo
veinte, cuando algunas empresas incorporan la función de la Gerencia de Riesgos, dedicada
inicialmente a la compra y gestión de los seguros.

3
Con posterioridad, la Gerencia de Riesgos amplía su campo de acción, al asesoramiento en
la decisión de otras políticas de la empresa en su estrategia corporativa y operacional, en
particular en el aseguramiento y fiabilidad de los procesos y las acciones de seguridad como
principales herramientas que contribuyen a garantizar la continuidad de las operaciones.
En la última década, tras las reformas del sistema financiero, se ha producido una verdadera
revolución de los medios y formas con los que las empresas gestionan sus recursos
financieros. La apertura es prácticamente total y en la mayoría de las empresas se utilizan
con dedicación toda la gama de instrumentos que se desarrollan de forma continua en los
principales mercados, cuya globalización ha originado un grado de incertidumbre al que hasta
hace muy poco no se estaba acostumbrado.
En paralelo, han ido surgiendo nuevos riesgos motivados por la utilización de estos
mecanismos, cuyo efecto, en algunos casos, ha supuesto cuantiosas pérdidas en importantes
entidades y el cuestionamiento de los directivos de estas. Los Consejos de Administración de
numerosas empresas han empezado a tomar conciencia del problema y en algunos casos se
ha decidido volver a los instrumentos tradicionales, mientras que en otros se ha optado por
prepararse para gestionar el riesgo mediante adecuados sistemas de control interno.
En el contexto empresarial el riesgo puede definirse como: "los factores, acontecimientos,
tanto internos como externos, a que está expuesta la empresa, y que ponen en peligro la
consecución de los objetivos".
La incertidumbre de los riesgos del negocio empresarial, especialmente cuando se
implementa un proceso nuevo, se reduce con el análisis previo de los componentes directos
y de los factores del entorno que puede influir en el desarrollo esperado.
Cuando se refiere a los factores externos que representan riesgos para la empresa, porque
pueden afectar su control interno, se considera que hay que tener en cuenta que las
condiciones existentes en el momento de diseñar las acciones que forman parte del proceso
de control pueden cambiar, dejando de ser eficaz el sistema. Siendo necesario que al
mismo tiempo que se identifiquen los riesgos, la empresa identifique los factores que van
modificando los riesgos y la capacidad de la entidad para conseguir sus objetivos.
La denominación “lavado de dinero” tiene su origen en los Estados Unidos, durante la década
de los años veinte. Una época en la que una de las mafias existente en el país (AL Capone),
con el fin de esconder la procedencia ilícita del dinero que alcanzaba con sus actividades
delictivas, creó una red de lavanderías.

El sistema utilizado, consistía en presentar las ganancias procedentes de las actividades

delictivas como si fuesen obtenidas dentro de la explotación del negocio de lavado de textiles.

De manera que, al no poder distinguirse, qué dólar o centavo de dólar provenía de una
actividad lícita o no, Capone logró burlar durante mucho tiempo a las autoridades de los EE.
UU.

Sería a partir de 1920, cuando las distintas agencias de investigación del gobierno del país
americano iniciaron diversos juicios contra Al Capone por posesión de armas, falsedad en las
declaraciones fiscales y otros cargos. Después de grandes y complicadas investigaciones,
unas más fructíferas que otras, el 16 de junio de 1931, Al Capone se declaró culpable por los

4
delitos de evasión fiscal y venta ilícita de alcohol. El mafioso, sería condenado el 24 de
noviembre de 1931, a once años de cárcel y multado con $50.000.00 USD.

Durante la década de los años 70, fueron varios los países que advirtieron de las actividades
delictivas consistentes en lavado o blanqueo de dinero, con la visión puesta en las actividades
de narcotráfico en EE. UU. La alerta surgió, ya que la recaudación de la venta de la droga en
la calle se depositaba en los bancos sin ningún trámite ni control, de forma que entraba
fácilmente en el circuito legal del dinero.

Hubo que esperar hasta el año 1982, para que la Justicia norteamericana utilizase por primera
vez la expresión “lavado de dinero”, dentro de una operación de blanqueo de capitales del
dinero obtenido a través del contrabando de cocaína procedente de Colombia.

En la actualidad, los narcotraficantes tienen un grave problema de logística y distribución del

dinero ganado a través de sus actividades delictivas. Ello se debe, a que, por ejemplo, en el
caso de la cocaína y la heroína el volumen físico del dinero producto de su venta es mayor
que el volumen físico de la droga, por lo que les resulta más fácil transportar e introducir los
estupefacientes en un país que retirar el dinero efectivo por la venta de este.

Decía Pablo Escobar (famoso narcotraficante colombiano), que almacenar, contar, mantener,
transportar y entregar el dinero del narcotráfico suponía un gran problema, ya que el dinero
entregado por la venta de la droga usualmente son billetes pequeños (de 5, 10 y 20 dólares)
que tienen que ser cambiados por billetes más grandes (de 50 o 100 dólares). De lo contrario,
el peso de los billetes ($25.000) por un Kg de cocaína sería mucho mayor.

De manera que el narcotráfico genera gran cantidad de dinero, que para poder ser utilizado
hay que disfrazarlo, blanquearlo o lavarlo para que pueda entrar en el círculo legal económico.

Sin embargo, el delito que origina el dinero que hay que blanquear/lavar no es únicamente el
narcotráfico. Existen otros muchos delitos que se han vinculado fuertemente como el
precedente del lavado/blanqueo del dinero. Sirva de ejemplo, delitos como el tráfico ilegal de
armas, de animales exóticos, de seres humanos o de sus órganos, la corrupción, así como el
contrabando de otros muchos productos.

Los riesgos financieros nunca han sido tan complejos y desafiantes como en este mundo
altamente globalizado. Las reservas de capital, las carteras de crédito y derivados financieros,
las políticas de inversión y los perfiles de capital y de deuda exigen una vigilancia constante y
minuciosa para gestionar el riesgo financiero de forma adecuada.

El presente manual pretende ayudar a la cooperativa a implementar un modelo sistemático,

objetivo y homogéneo de gestión de riesgos financieros, que les permita evaluar y controlar la
creación de valor de los diferentes negocios en los que opera.

El documento cubre en general todos los aspectos relevantes relacionados con la gestión de
riesgos financieros, fundamentalmente riesgos de mercado y de crédito, pero también riesgo
operativo y legal. En particular se analiza la problemática concreta de la gestión de riesgos
financieros y se proponen soluciones prácticas.

5
Las ideas que se exponen son aplicables fundamentalmente a la Cooperativa Persona
Obligada, R. L., pero siempre bajo la óptica de la gestión de riesgos financieros.

El manejo de riesgo no solo identifica y cuantifica el riesgo. Sino que permite gestionar el
negocio maximizando nuestro esfuerzo en la creación de valor, sin distraernos en arreglar
problemas previsibles.

El manejo del riesgo nos permite ser conscientes del nivel de rentabilidad que debemos exigir,
eliminando actividades que no generen el adecuado valor.

Permite tener un grado adecuado de transparencia respecto al verdadero valor del negocio,
tema de relevancia para los accionistas.
Finalmente, la gestión de riesgo permite a la alta dirección de una empresa tomar decisiones
con conocimiento del riesgo y no basados en el azar de los eventos: “Tomando riesgos por
elección no por casualidad”

II. CONCEPTOS BASICOS

a. Gestión

Es la acción y el efecto de gestionar y administrar. De una forma más específica,

una gestión es una diligencia, entendida como un trámite necesario para conseguir algo o
resolver un asunto, habitualmente de carácter administrativo o que conlleva documentación.

b. Riesgo

Se define como la posibilidad de que las expectativas positivas para un sistema orientado al
logro de objetivos no se realicen.

En esta definición se encuentran los tres elementos esenciales del riesgo, como son:

 La incertidumbre;

 Las consecuencias no deseadas para un sistema;

 El cambio en las circunstancias existentes;

Si bien en algunas circunstancias el riesgo es totalmente inmanejable, por estar por completo
fuera de nuestro control; es el hecho de que algo debe cambiar antes de que ocurra un
desastre lo que hace posible la administración de riesgos, ya que de alguna manera es posible
influenciar en aquellos factores que deben cambiar. Por ejemplo, nada podemos hacer para
evitar que ocurra un terremoto, pero si podemos levantar construcciones más sólidas y
seguras frente a la materialización de dicho fenómeno.

Según Peter Drucker, tratar de eliminar el riesgo en las empresas es algo inútil. El riesgo es
algo inherente al hecho de comprometer recursos actuales en busca de resultados futuros. De
hecho, el progreso económico se define como la habilidad de tomar riesgos.

c. La Gestión de Riesgos

6
Es el proceso de toma de decisiones en un ambiente de incertidumbre sobre una acción que
va a suceder y sobre las consecuencias que existirán si esta acción ocurre.

Es el proceso de identificación, medida y administración de los riesgos que amenazan la

existencia, los activos, las ganancias o al personal de una organización, o los servicios que
ésta provee.

El principal objetivo de la gestión de riesgos debe ser el de permitirle a la organización tomar

los riesgos adecuados, proveyendo el conocimiento y la comprensión de dichos riesgos,
identificando los recursos y esfuerzos necesarios para alcanzar los resultados deseados,
movilizando las energías necesarias para ello y midiendo los resultados contra las
expectativas presupuestas; además de proveer los medios para la temprana detección y
corrección de decisiones erradas o inadecuadas.

d. Riesgo Subjetivo

Es la percepción particular que una persona posee sobre un riesgo. Puede tener o no relación
directa con la verdadera probabilidad de ocurrencia. Dicha percepción puede verse afectada
por factores como:

 La potencial severidad de sus consecuencias;

 El grado de conocimiento de la persona respecto al riesgo;

 La familiaridad con el riesgo

 Factores sicológicos que predisponen;

 El grado de aversión al riesgo.

e. Riesgo Aceptable

Es el nivel de riesgo subjetivo que un individuo u organización están dispuestos a aceptar.

f. Riesgos Puros

Son aquellos cuya materialización siempre representarán una pérdida, nunca una utilidad.

g. Riesgos Especulativos

Pueden producir ganancias o pérdidas. La mayoría de los riesgos asumidos por las
organizaciones son especulativos.

Los principios básicos de la gestión de estos dos tipos de riesgos son esencialmente los
mismos, pero las técnicas de gestión de riesgos puros se han desarrollado en forma separada
de las de administración de riesgos financieros y especulativos. Esto refleja la tendencia de
muchas empresas que encuentran operacionalmente conveniente para la administración de
cada tipo de riesgo su manejo por diferentes áreas. No obstante, la frontera entre los dos tipos
de riesgos a veces no está claramente definida. Tal es el caso del riesgo político.

7
 h. Riesgos Estáticos

Son aquellos que siempre están presentes en un sistema ordenado. Los riesgos de rayo y
otros fenómenos naturales son ejemplos de este tipo de riesgos; los cuales a su vez caen
dentro de la categoría de riesgos puros.

i. Riesgos Dinámicos

Son aquellos que cambian y se transforman al ritmo que cambia el sistema mismo. Los
cambios económicos, políticos, sociales, legales, tecnológicos y ambientales pueden crear
nuevos riesgos o modificar los existentes. Los riesgos dinámicos usualmente son también
especulativos, pero incluyen además una categoría especial de riesgos puros: los riesgos de
responsabilidad, los cuales dependen enteramente del desarrollo de la legislación.

j. Riesgos Fundamentales

Son aquellos que pueden afectar a la totalidad o a la mayor parte de una sociedad, como son
los desastres naturales o factores económicos o políticos de amplio espectro, como las
guerras o la recesión. Las organizaciones usualmente tienen poco control sobre este tipo de
riesgos y su administración se concentra en reducir sus efectos.

k. Riesgos Particulares

Son aquellos que de manera directa pueden afectar a una organización, los cuales pueden
ser controlables en alguna medida.

l. Riesgos Físicos

incluyen las lesiones o muerte de personas y todas las formas de pérdida o daño de
propiedades. Las causas de pérdidas físicas son usualmente el resultado de la materialización
de peligros comunes, como incendio, explosión, terremoto, colisión, contaminación, rayo. Etc.;
pero también puede ser el resultado del incendio intencional, robo, actos mal intencionados o
daños causados por error humano.

m. Riesgos de Responsabilidad

Los riesgos de responsabilidad pueden provenir de reclamaciones de los empleados, de los

clientes o proveedores y del público en general. Si bien dichas reclamaciones pueden resultar
de factores mencionados en la clasificación anterior, también pueden relacionarse con los
productos o servicios que presta la empresa, los efectos de la responsabilidad contractual con
los clientes, proveedores u otros y el efecto de regulaciones nacionales o internacionales.

n. Riesgos de Interrupción de Negocios

Fenómenos de esta naturaleza suelen seguir a la materialización de los riesgos físicos de

responsabilidad antes descritos. Aquí es necesario considerar el efecto de potenciales
pérdidas debido a factores externos, tales como falta de suministros, dependencia de sistemas
electrónicos, especialmente en operaciones altamente sistematizadas; además de las

8
interrupciones forzadas por decisiones de tipo legal (por ejemplo, debido a la contaminación).
Otra causa de interrupción de negocios podría ser la pérdida de mercado.

o. Riesgos Sociales

El efecto de los cambios sociales es una amenaza creciente para las organizaciones. Esta
categoría incluye los cambios en los hábitos de consumo, el desempleo, la recesión, el
vandalismo y todas las manifestaciones de fraude.

p. Riesgos Políticos

Los cambios bruscos en las políticas gubernamentales, las nuevas legislaciones, las
decisiones proteccionistas, los efectos de la inflación, los cambios bruscos en la política
monetaria, la imposición de nuevos aranceles de importación y en general, todo cambio en las
reglas de juego del sector.

q. Riesgos Ambientales

La identificación de los riesgos ambientales implica el reconocimiento de cambios en el medio

ambiente con cierta anticipación. Deberán considerarse los efectos del clima, el agotamiento
de los recursos, la necesidad de elegir fuentes alternativas de energéticos y la posible
necesidad de un cambio en la tecnología.

r. Riesgos de Administración

Una administración deficiente puede tener un efecto catastrófico en las organizaciones,

aunque su costo muchas veces permanezca oculto hasta que los resultados de una pobre
administración se hacen evidentes en los resultados generales de la organización. Una
administración inadecuada se traducirá en desperdicios, mala planeación, fallas en
almacenamiento, errores en la selección y políticas de personal, etc. Una planeación
inadecuada puede determinar la imposibilidad de la empresa para mantenerse al día con los
cambios tecnológicos y administrativos y un errado desarrollo de nuevos productos, servicios
y alternativas, lo cual puede determinar una irremediable pérdida de mercado.

III. OBJETIVOS

a. Identificar los diferentes tipos de riesgo que pueden afectar la operación y/o resultados
esperados de la Cooperativa Persona Obligada, R. L.

b. Medir y controlar el riesgo “no sistemático”, mediante la instrumentación de técnicas y

herramientas, políticas e implementación de procesos.

c. Reducir diferentes riesgos relativos a un ámbito preseleccionado a un nivel aceptado

por la cooperativa:

 Como las amenazas causadas por el Competitividad en el sector y en la región.

9
  A las amenazas causadas por el medio ambiente, la tecnología, los seres humanos, las
organizaciones y la política.

 La amenaza que involucra todos los recursos disponibles por los seres humanos o, en
particular, por una entidad de manejo de riesgos (persona, staff, organización).

d. Fortalecer las decisiones y la respuesta a los riesgos mejorando la gestión de riesgo en

la cooperativa proporcionado la identificación y selección de alternativas y respuestas
a los riesgos: para evitar, reducir, compartir y aceptar los riesgos.

e. Reducir sorpresas y perdidas de operación en la cooperativa adquiriendo mejores

condiciones para identificar eventos potenciales y establecer respuestas a ellos, lo que
reduce las sorpresas y los costos o perdidas asociadas.

f. Identificar y gestionar múltiples riesgos.

g. Aprovechar las oportunidades teniendo en cuenta los eventos posibles.

h. Optimizar el capital.

IV. RISK MANAGEMENT

1. CRITERIOS EN LA GESTION DE RIESGOS

En este apartado se delimitará el alcance de la gestión de riesgos, mediante 17 criterios, que

la cooperativa se plantea en el proceso de gestión de riesgos.

Dichos criterios se refieren a:

 Fijación de criterios de aceptación de riesgos.

 Análisis y evaluación de los riesgos existentes.

 Toma de decisiones acerca de la posición.

 Evaluación de resultados.

 Implantación.

 Comunicación.

Cada una de las preguntas que se formulan se acompaña de una explicación en la que se
fijan los principios básicos que han de seguirse para lograr una respuesta correcta.

a. ¿Qué riesgos se desean asumir y gestionar? ¿De qué tipo? ¿En qué cuantía?

10
La cooperativa ha de especificar en qué negocios, mercados, productos y con qué
contrapartidas puede y desea operar. La cooperativa ha de fijar el nivel de riesgo máximo
aceptable, relacionándolo con el capital que se desea arriesgar globalmente y en cada uno de
los negocios. Asimismo, el nivel de riesgo ha de relacionarse con el capital disponible, para
asegurar la solvencia (calidad crediticia) apropiada para el negocio emprendido.

b. ¿Qué expectativas de beneficio justifican la aceptación de un cierto riesgo de

pérdidas?

La cooperativa ha de establecer una medida que compare los beneficios logrados con los
riesgos asumidos, y que sea aplicable homogéneamente a los distintos perfiles de
rentabilidad-riesgo que presentan los diversos negocios. En este contexto, debe fijarse un
objetivo de rentabilidad sobre el capital arriesgado. Ha de definirse el horizonte temporal en el
que deben alcanzarse los objetivos, en consonancia con el ritmo del negocio (tiempos
necesarios para generar y medir los resultados, para detectar desviaciones, para analizar sus
causas, para decidir e implantar medidas correctoras, para evaluar a los gestores, etc.). Antes
de adoptar una posición han de evaluarse sus resultados esperados y los riesgos que se
asumirían, comparándolos con los objetivos de rentabilidad-riesgo predefinidos.

c. ¿Qué puntos de referencias han de adoptarse?

Debe quedar claramente establecido qué se considera como posición neutral frente al riesgo
(que no tiene porqué consistir en una posición cuyo valor sea completamente inmune frente a
cambios en el entorno), y qué resultados cabe esperar adoptando tal posición. Las
desviaciones respecto de esta deben examinarse en base a los incrementos de beneficios y
riesgos asociados. Asimismo, ha de fijarse el horizonte temporal relevante para la toma de
decisiones, evaluación de resultados y medición de riesgos.

d. ¿Cómo deben traducirse los objetivos globales en objetivos por unidad de

negocio?

Deben establecerse requisitos de rentabilidad y límites de riesgo por unidad de negocio

coherentes con los objetivos y limitaciones para el conjunto de la entidad. En este proceso es
crítico considerar los efectos de la diversificación del riesgo, que permiten que el riesgo total
sea inferior a la suma de los riesgos de las unidades de negocio por separado (no suelen
coincidir las situaciones de pérdidas elevadas en todos los negocios).

e. ¿Cuál es la posición actual?

Ha de describirse la posición de modo resumido y adecuado para la toma de decisiones. Esta

descripción debe recoger los factores que influyen sobre las pérdidas y ganancias (P&G)
posibles y cuantificar su grado de influencia, de manera que se pueda calcular con suma
facilidad el impacto de una variación en dichos factores (por ejemplo, la subida del tipo de
interés). Como parte de la descripción, también debe recogerse el valor del negocio y de las
posiciones en mercados financieros. Adicionalmente, es necesario disponer de la información
detallada de cada una de las operaciones realizadas, para poder cumplir con las obligaciones
y ejercer los derechos inherentes a las mismas (cobros/pagos), además de extraer los
resúmenes básicos para la toma de decisiones.

11
 f. ¿Cuál es el perfil de rentabilidad-riesgo?

Para caracterizar este perfil se ha de conocer:

 La sensibilidad del valor del negocio y de la posición en mercados financieros frente a

los precios/tipos de mercado y factores de riesgo en general.

 El beneficio que se espera obtener.

 La probabilidad de sufrir pérdidas de una cierta magnitud predeterminada.

 Las P&G en escenarios de crisis en los mercados o en el negocio de la compañía. Ha

de determinarse el capital que se necesita para mantener la actividad durante un cierto
tiempo con el nivel de calificación crediticio deseado, así como la rentabilidad que se
espera obtener sobre el mismo.

g. ¿Qué tipo de dependencia existe entre el nivel de cada una de las posiciones y el
perfil de rentabilidad-riesgo?

Se ha de medir el impacto sobre el perfil de P&G de cambios marginales en las posiciones,

distinguiendo aquellas que contribuyen a incrementar el nivel de riesgo global de las que lo
reducen. Esto servirá de base para encontrar alternativas para reducir el riesgo a niveles
predeterminados (actuación indispensable cuando se sobrepasa el límite de riesgo
establecido). Se habrán de prever actuaciones para minimizar el riesgo en situaciones en que
no se puede actuar sobre todos y cada uno de los factores de riesgo, por ejemplo, en casos
de crisis, falta de liquidez, cierre horario de algunos mercados, etc.

h. ¿Cuál es la visión del mercado y del negocio implícita en la posición adoptada?

A partir de la posición adoptada en la realidad, han de deducirse cuáles serían las expectativas
acerca de los factores de riesgo que hartan que dicha posición fuera eficiente (mínimo riesgo
de pérdidas para un nivel de rentabilidad esperado). La comparación de las expectativas
implícitas en las posiciones adoptadas con las opiniones propias pondrá de manifiesto
posibles incoherencias en dichas posiciones.

i. ¿Qué opiniones se tienen acerca de la evolución de los negocios de la

cooperativa y de los mercados financieros?

La previsión de los posibles movimientos futuros en el entorno/mercado es necesaria si se

contempla la posibilidad de adoptar una posición que se aleje de la que se ha definido como
posición neutral frente al riesgo. Estas previsiones han de hacerse explícitas, para ello se
deben especificar:

 Los valores esperados para cada uno de los factores (precios, tipos, calidades
crediticias, etc.) que determinan las P&G.

 La probabilidad de cada uno de los movimientos posibles.

12
  La correlación (grado en que se mueven conjuntamente) entre los movimientos de los
factores. Sólo cuando hay diferencias entre las propias expectativas y los movimientos
que descuentan los mercados puede justificarse la toma de posiciones en base a
beneficios esperados extraordinarios en comparación con el riesgo de pérdidas. No
obstante, el riesgo de pérdidas sigue existiendo. Debe clarificarse qué motivos justifican
la discrepancia entre las propias expectativas y las del conjunto de los agentes
participantes en los mercados. En ocasiones ésta puede deberse a superior
información o capacidad de análisis por parte de la cooperativa, pero también es posible
una situación de inferioridad por dificultad para acceder rápidamente a información en
poder de otros agentes, o para interpretar correctamente los datos. Esta última
situación es especialmente importante en el caso de mercados estrechos, con fuertes
peculiaridades y especificidades locales, legales, regulatorias, etc. Para determinar la
cuantía de las posiciones, ha de tenerse en cuenta el grado de seguridad acerca de las
propias expectativas, actuando siempre dentro de los límites y objetivos marcados al
fijar los criterios de aceptación de riesgos.

j. ¿Qué posibles oportunidades de negocio o nuevas transacciones han de ser

aceptadas?

Antes de realizar una nueva transacción ha de examinarse cómo modificaría el perfil global de
rentabilidad-riesgo. Esto resulta impracticable cuando se realizan numerosas transacciones
de tamaño relativamente pequeño, por lo que es necesario establecer procedimientos y
sistemas para realizar el análisis en ámbitos más reducidos. En cualquier caso, debe decidirse
cuáles de los riesgos que introduciría una nueva operación no desean asumirse y han de ser
cubiertos, así como fijar el precio que compense por los riesgos que se mantendrán y
gestionarán dentro de la entidad.

k. ¿Cómo construir la cartera más acorde con la propia visión y los objetivos de
rentabilidad-riesgo marcados?

La construcción de la cartera puede descomponerse en dos etapas. En la primera se eligen

los sectores en los que se desea tomar riesgo de crédito y los mercados en los que se esperan
rendimientos elevados y se determina la cuantía del capital a arriesgar en ellos. En la segunda
etapa, deben elegirse las compañías y transacciones concretas que mejor reflejen visiones
particulares acerca de variaciones de los factores de riesgo (tipos, precios, solvencia crediticia,
etc.

l. ¿Cuáles han sido los resultados de las decisiones adoptadas?

Se ha de ser capaz de explicar los resultados obtenidos en base a las posiciones adoptadas
y a los movimientos ocurridos en los mercados, o al comportamiento de los clientes. Se han
de desglosar las P&G y la rentabilidad sobre capital por unidades de negocio, con medidas
homogéneas que permitan la comparación. El capital en riesgo ofrece la necesaria
homogeneidad como base de comparación, y resulta fácil de repartir objetivamente entre las
unidades de negocio, de acuerdo con su nivel de riesgo y su contribución a la diversificación
global. Asimismo, el capital en riesgo es útil para tomar decisiones acerca de las posiciones a
adoptar y operaciones a aceptar.

m. ¿Cómo son los resultados en comparación con los objetivos marcados?

13
Se deben explicar las desviaciones, relacionándolas cuantitativamente con las posiciones y
los factores de riesgo. La comparación con los objetivos debe realizarse no sólo al final del
horizonte temporal al que se referían, sino en etapas intermedias, para permitir la puesta en
marcha de acciones correctoras, y para analizar la posibilidad de que se alcancen los objetivos
en los plazos inicialmente previstos o con ciertas modificaciones.

n. ¿Qué información relevante contienen los resultados de cara a una futura

asignación de capital entre negocios?

Antes de reorientar los esfuerzos de la entidad hacia determinados segmentos de negocio,

con resultados pasados considerados superiores, ha de comprobarse que estos son
sostenibles a medio o largo plazo. Igualmente, es necesario examinar el efecto de la
diversificación sobre las P&G totales y la rentabilidad sobre el capital: concentrar toda la
actividad en un único segmento, aunque sea el más rentable, entraña un alto riesgo.

o. ¿Qué es necesario para implantar la gestión de riesgos?

Para obtener la respuesta a las cuestiones anteriores y actuar en consecuencia ha de

realizarse una serie de actividades, tales como:

 Suministro de datos de partida (operaciones, posiciones, tipos y precios de mercado,

etc.).

 Definición de las metodologías.

 Aplicación de las metodologías para la obtención de la información deseada.

 Difusión de la información.

 Toma de decisiones.

 Ejecución de las decisiones.

 Evaluación de los resultados de las decisiones. Acerca de la realización de las

actividades ha de decidirse:

 ¿Quién debe realizarlas? = Estructura organizativa y equipo humano cualificado.

 ¿Cómo y cuándo deben realizarse? = Políticas, procedimientos y metodologías.

 ¿Con qué medios deben realizarse? = Sistemas de información y acceso a mercados

e instrumentos.

 ¿Cómo se garantiza la corrección del proceso? = Controles, incentivos y formación.

Todo ello implica tanto una inversión económica inicial, para dotar a la entidad de los medios
humanos y materiales adecuados, como costos permanentes de funcionamiento. Es

14
indispensable un análisis costo/beneficio para decidir el grado de detalle a que se llega en la
implantación de la gestión de riesgos.

p. ¿Qué esfuerzo de comunicación interna, dirigida a directivos y empleados en

general, debe realizarse?

Considerando que los flujos de información necesarios para la actividad laboral quedan
completamente definidos en el proceso de implantación, la comunicación a los miembros de
la empresa debe centrarse en la creación de una cultura cooperativa de gestión de riesgos,
de manera que los análisis y la toma de decisiones por los empleados estén de acuerdo con
la filosofía de gestión de riesgos. Sin este cambio de mentalidad los controles e incentivos
materiales pierden gran parte de su efectividad. La alta dirección debe liderar el proceso de
cambio de cultura cooperativa. Asimismo, es necesario formar a los empleados para que
conociendo todos sus elementos (estructura organizativa, políticas y procedimientos,
metodologías, sistemas de información, mercados e instrumentos, controles, incentivos, etc.),
puedan poner en práctica la gestión de riesgos.

q. ¿Qué tipo de información debe transmitirse externamente?

La finalidad principal de la comunicación externa es poner de manifiesto el valor que aporta la

gestión de riesgos, para cada uno de los agentes económicos, de modo que ello se traduzca
rápidamente en:

 Mayor valor de la acción.

 Marco regulatorio acorde con las necesidades de una gestión eficiente.

 Reconocimiento de la calidad crediticia.

La información transmitida debe facilitar a cada uno de los trabajadores la realización de sus
tareas específicas. En la medida que la cooperativa alcanza un elevado grado de objetividad
en la medición y cuantificación de los riesgos.
2. CARACTERISTICAS DE LA GESTION DE RIESGOS

a. Proceso continuo y en constante desarrollo que se lleve a cabo en toda la estrategia de

la cooperativa.

b. Debe tratar metódicamente todos los riesgos que rodeen a las actividades pasadas,
presentes y, sobre todo, futuras de la cooperativa.

c. Debe estar integrada en la cultura de la cooperativa.

d. La cooperativa tiene que convertir la estrategia en objetivos operacionales, asignando

responsabilidades en toda la cooperativa, siendo cada gestor y cada empleado
responsable de la gestión de riesgos como parte de la descripción de su trabajo.

e. Favorece la medición y recompensa del rendimiento en función de objetivos,

promoviendo así la eficacia del personal.

15
 3. BENEFICIOES DE LA GESTION DE RIESGOS

a. Mejora el proceso de toma de decisiones y planificación.

b. Apoyar a los empleados y mejorar la base de conocimientos de la organización

c. Ofrece una visión integrada del negocio y de sus amenazas y oportunidades.

d. Protege y mejora los activos y la imagen de la cooperativa.

e. Permite realizar una asignación más eficiente de los recursos financieros y operativos.

f. Desarrolla una estructura que permite que las actividades futuras se desarrollen de
forma controlada.

4. ALCANCES DEL PROCESO DE GESTION DE RIESGOS

La mayoría de los riesgos pueden ser identificados y administrados. Puede decirse que los
riesgos físicos, de responsabilidad, de interrupción de negocios y administrativos pueden ser
directamente manejados por una organización. Los riesgos sociales, políticos y ambientales
rara vez pueden ser manejados desde el interior de una empresa. Sin embargo, si es posible
identificar y anticipar las consecuencias de estos riesgos y tomar algunos cursos de acción
para reducir la Vulnerabilidad de la organización en sus áreas más sensibles.

Antes de considerar métodos de identificación de riesgos en gran detalle, es de utilidad definir

los propósitos básicos de dicho proceso:

a. Obtener información acerca de los tipos de pérdidas que se pueden presentar en una
organización;

b. Comprender de manera cabal la filosofía de la cooperativa.

Mucho se ha discutido acerca de las dificultades de orden práctico que presentan los procesos
de gestión de riesgos. Esta dificultad se incrementa de manera notable por la necesidad de
enmarcar esta actividad dentro de los límites de la relación aceptable costo/beneficio y la
aceptación de los métodos de administración por parte de la alta gerencia y de los diferentes
procesos. Si bien para efectos prácticos nos referiremos a la identificación, medida y gestión
de riesgos como tres actividades separadas, en realidad resulta muy difícil separarlas.

La mayoría de las técnicas usadas en gestión de riesgos han sido adaptadas de otras áreas
de la actividad industrial y comercial. Lo que resulta nuevo acerca del concepto de gestión de
riesgos es el uso integrado de las técnicas disponibles para identificar, medir y administrar los
riesgos.

Un proceso típico de gestión de riesgos consta de los siguientes pasos:

16
 A. Identificación: es el reconocimiento de las principales amenazas que se ciernen sobre
una organización. Algunas de estas amenazas pueden ser obvias, en tanto que otras
pueden permanecer ocultas o no ser fácilmente reconocibles.

B. Habiendo identificado las principales amenazas, el siguiente paso consiste

en cuantificarlas. Por cuantificación se entiende el proceso de establecer qué tan seria
es la amenaza, en términos de frecuencia y severidad.

C. Después de terminado el proceso de cuantificación, el siguiente paso es el de preparar

un plan para el manejo económico de los riesgos. Ello puede incluir la determinación
del mejor camino a tomar ante un riesgo: su eliminación o bien su administración. Si se
decide administrarlo, deberán prepararse las siguientes estrategias:

a. Prevención: Orientada a reducir la probabilidad de ocurrencia de un evento indeseado.

Ejemplos: manuales de procedimiento, políticas empresariales, capacitación.

b. Protección: Es el conjunto de acciones, elementos y equipos destinados a reducir las

consecuencias de la materialización de un riesgo.

c. Control: Son las acciones de combate del evento en su más temprana manifestación.

d. Atención: Son aquellas acciones orientadas a recuperar los recursos afectados por un
evento, con el fin de reducir las consecuencias.

e. Transferencia: Existen dos maneras de transferencia. La transferencia del riesgo, por

ejemplo, cuando se contrata el transporte de dinero y valores con una firma
especializada; o cuando se transfiere el efecto económico de la materialización de un
evento, como en el caso de la contratación de seguros. En la primera forma de
transferencia, el riesgo queda a cargo de un tercero; en la segunda forma, se transfiere
el efecto económico, pero la responsabilidad de administrar el riesgo físico continúa en
cabeza de la organización.

Podemos describir la gestión de riesgos como un método formal de planeación. Como tal es
similar a una cantidad de otras técnicas de administración, incluyendo la administración por
procesos, el control presupuestal y el análisis de rutas críticas. La administración de riesgos
es el complemento de estas técnicas y a su vez puede servirse de ellas. Por ejemplo, los
objetivos definidos en la administración por procesos pueden incluir elementos de gestión de
riesgos.

El Consejo de Administración de la Cooperativa Persona Obligada, R. L. aprueba y revisa

periódicamente la estrategia para gestionar el riesgo de crédito y las políticas y procesos
significativos para asumir, identificar, cuantificar, controlar e informar sobre el riesgo de crédito
(incluido el riesgo de contraparte).

La Gerencia General aplica la estrategia para la gestión del riesgo aprobada por el Consejo y
desarrolla las políticas y procesos antes mencionados. El conejo exige y confirma
periódicamente que dichas políticas y procedimientos crean un entorno adecuado de gestión
de riesgo sujeto a los controles pertinentes, lo cual implica:
17
 a. Una estrategia bien documentada, políticas y procesos sólidos para la ascensión del
riesgo de crédito;

b. Criterios bien definidos y políticas y procesos adecuados para aprobar nuevas

exposiciones al riesgo, así como para renovar y refinanciar exposiciones actuales,
identificando la autoridad adecuada para llevar a cabo dicha aprobación en proporción
al volumen y complejidad de las exposiciones;

c. Políticas y procesos eficaces para la administración del crédito, incluyendo el análisis

continuo de la capacidad y disposición del prestatario para cancelar su deuda en los
términos acordados, el seguimiento de la documentación, las cláusulas legales y
contractuales y el colateral, así como un sistema de clasificación acorde a la naturaleza,
dimensiones y complejidad de las actividades de la cooperativa;

d. Políticas y procesos integrales para poder informar en cualquier momento sobre las
exposiciones al riesgo;

e. Políticas y procesos integrales para identificar activos dudosos; y Controles y límites

prudenciales para préstamos, con políticas y procesos para vigilar las exposiciones al
riesgo en relación con los límites, aprobaciones y excepciones a los mismos.

5. ESTRUCTURA ORGANIZATIVA Y FUNCIONES

Desde el punto de vista de la gestión de riesgos, el esquema organizativo de una entidad

puede ser segmentado, a efectos de análisis, en dos grandes estructuras de responsabilidad:

a. Estructura estratégica

Compuesta por el consejo, la Gerencia General y los comités de dirección que se formen, que
tienen como función genérica la definición y aprobación de la estrategia y las políticas de
gestión de riesgos de la entidad, así como asegurar la existencia de los recursos necesarios
para la correcta implantación de estas.

b. Estructura operativa

Compuesta por el resto del personal de la cooperativa, los cuales deben ejecutar la estrategia
e implantar las políticas de gestión de riesgos en el desarrollo de las funciones que cada uno
tenga asignadas dentro de la organización.

El consejo, la gerencia y los comités de dirección. El número, composición y funciones de

estos últimos dependerá del tamaño y complejidad de la entidad, así como del tipo de
actividades que desarrolle. Por ejemplo, en una entidad financiera grande, pueden existir los
siguientes comités de dirección:

 Comité ejecutivo

18
  Comité de activos y pasivos (CAP, conocido también como ALCO, del inglés assets
and liabilities committee)

 Comité de riesgos: puede existir uno para riesgo de mercado y otro para el riesgo de
crédito.

 Comités de negocio: puede existir uno para cada uno de los grandes ámbitos de
actividad (tesorería, ahorros, crédito, gestión de activos, etc.).

A. EL CONSEJO DE ADMINISTRACION

Por delegación de la asamblea general de asociados, el consejo de administración es el

máximo responsable de la creación de valor, así como de sancionar la estrategia y las políticas
de la entidad.

En el ámbito de la gestión de riesgos sus funciones son:

a. Conocer y comprender los riesgos que asume la entidad.

b. Garantizar la existencia del capital necesario para soportar el riesgo global de la

entidad.

c. Salvaguardar el valor de la entidad de pérdidas potenciales.

d. Sancionar la estrategia de gestión de riesgos, que debe incluir los criterios de

aceptación de riesgos.

e. Marcar las líneas maestras de la gestión de riesgos.

f. Conocer periódicamente los resultados obtenidos y el nivel de riesgos asumido.

g. Garantizar la existencia de los recursos necesarios para que la gestión de riesgos sea
eficiente.

h. Potenciar una cultura organizativa de gestión de riesgos dentro de la entidad.

i. El documento debería contener al menos los siguientes aspectos:

 La estructura de límites, a través de la cual se definirán qué riesgos se quieren asumir

y en qué cuantía. Lo más conveniente es que en la medida que sea posible, los riesgos
que se está dispuesto a asumir sean cuantificados en términos de capital en riesgo
(capital que se quiere arriesgar).

 Lugares y negocios en los que se quiere operar dentro de los límites de riesgo
establecidos.

19
  Las rentabilidades objetivo que se pretenden alcanzar en los diferentes negocios en
función de los riesgos asumidos, con el fin de poder evaluar en qué operaciones es
interesante entrar y en cuáles no.

 Políticas generales de gestión de riesgos estructurales, por ejemplo, porcentaje del

riesgo de cambio del valor de mercado de las inversiones, política de cobertura del
riesgo de cambio de los beneficios esperados de dichas inversiones, establecimiento
de una diferencia máxima entre la duración del activo y del pasivo del balance global
de la entidad, etc.

 Políticas de control de riesgos (por ejemplo, independencia, tipo de controles internos,

etc.).

 Estructura y criterios que se deben utilizar en la elaboración de los informes sobre

gestión de riesgos (SIG).

 Información sobre riesgos que se va a transmitir a agentes externos. A lo largo de este

manual se explicará en detalle cómo se deben definir cada uno de los aspectos
anteriormente expuestos.

B. EL COMITÉ EJECUTIVO

Por delegación del consejo, el comité ejecutivo que esta formado por el presidente más dos
directivos, el gerente general y los gerentes de área, es el máximo órgano directivo de la
organización y, como tal, tiene la responsabilidad de la gestión de los riesgos asumidos por la
entidad, para lo cual debe tener las siguientes funciones:

a. Garantizar el correcto cumplimiento de las decisiones del consejo.

b. Analizar los resultados obtenidos por las unidades de negocio en función de los
presupuestos, identificando las desviaciones y planteando medidas para corregirlas. El
análisis de los resultados debe realizarse teniendo en cuenta los riesgos asumidos para
la consecución de estos.

c. Analizar regularmente la conveniencia de reasignar capital entre las unidades de

negocio en función de los resultados obtenidos y el capital arriesgado.

d. Informar regularmente al consejo sobre aspectos relacionados con la gestión de

riesgos.

e. Diseñar y aprobar la estrategia de gestión de riesgos de la entidad y liderar su

ejecución. Como se ha comentado anterioriormente, es conveniente que dicha
estrategia sea formalizada a través de un documento en el que se definan los aspectos
ya mencionados. Dicho documento, una vez sancionado por el consejo, podrá ser
utilizado por el comité ejecutivo para transmitir la estrategia de gestión de riesgos al
resto de miembros de la organización.

20
 f. Conocer los riesgos y los consumos de capital de las unidades de negocio y las
posiciones estructurales.

g. Tomar decisiones de gestión que puedan tener un impacto importante en el valor de la

entidad.

h. Potenciar un ambiente de control y gestión de riesgos dentro de la entidad.

i. Definir una estructura organizativa y una política de incentivos adecuada con la filosofía
de gestión de riesgos.

j. Aprobar la asignación de los recursos necesarios para la gestión de riesgos.

k. Asegurar la existencia y utilización de políticas, procedimientos, metodologías y

sistemas, que permitan medir y gestionar los riesgos cuantificables y controlar los no
cuantificables. Todos estos elementos deben estar sujetos a la aprobación del comité
ejecutivo antes de su implementación. El comité ejecutivo se debería reunir
formalmente con una frecuencia semanal y extraordinariamente siempre que sea
necesario. Debe crear a su vez una serie de comités (comité de activos y pasivos,
comité de riesgos y comités de negocio) que dependan de él, a los cuales asignará
atribuciones y funciones concretas sobre diferentes aspectos de la gestión de la
entidad. En dichos comités es conveniente que participe, al menos, un miembro del
comité ejecutivo.

C. EL COMITÉ DE ACTIVOS Y PASIVOS (CAP)

El CAP es realmente un comité de negocio cuya responsabilidad es la gestión global de los

activos y pasivos de la entidad (balance comercial y posiciones estructurales). El CAP suele
delegar el análisis y la gestión diaria de los riesgos estructurales en una unidad especializada,
el área de gestión de activos y pasivos o área.

El CAP debe gestionar el riesgo de mercado y el riesgo de liquidez implícito en el balance de

la entidad. Para ello ha de:

a. Garantizar el cumplimiento de la estrategia de gestión de riesgos en relación al riesgo

estructural.

b. Fijar la posición el punto de referencia para la gestión del riesgo estructural.

c. Analizar y tomar decisiones en relación con las propuestas de gestión del riesgo
estructural que le realice el área GAP.

d. Definir las tácticas y objetivos de gestión de riesgo de balance, los cuales deberán ser
comunicados al comité ejecutivo para su aprobación.

e. Analizar la sensibilidad del valor de la entidad y de los resultados (margen financiero u

ordinario) a las variaciones de los diferentes factores de riesgo de mercado.

21
 f. Revisar los informes de gestión del área GAP, con el fin de analizar los resultados
obtenidos en función de los objetivos y los riesgos asumidos.

g. Analizar los presupuestos de la entidad y las propuestas de nuevos productos para la

cooperativa en relación con la estrategia y objetivos de gestión del riesgo de balance
que se han establecido.

h. Garantizar el cumplimiento de las políticas, metodologías y procedimientos definidos

por el comité de riesgos, aplicadas al riesgo estructural.

i. El comité de Activos estará compuesto por el presidente del Consejo de Administración

otro directivo, el gerente general, el gerente financiero, gerente crédito, gerente de
operaciones y los directores de aquellas unidades de negocio expuestas a riesgo de
mercado. Las decisiones adoptadas por el CAP serán transmitidas al resto de la entidad
a través de los responsables funcionales de las diferentes áreas que participan en dicho
comité. Es responsabilidad de cada partícipe la correcta ejecución de las decisiones
que afectan a su área, así como su seguimiento y control. Cada responsable funcional
deberá presentar en el CAP los correspondientes informes de realización de las
actuaciones que le fueron requeridas. Según lo expuesto, podemos decir que las
decisiones de gestión global de los activos y pasivos de la entidad afectarán
fundamentalmente a:

 Las áreas de la cooperativa, a las cuales les puede transmitir la necesidad de realizar
variaciones en la política comercial con el fin de modificar la sensibilidad del balance.
Por ejemplo, si el CAP observa que la duración del activo comercial es demasiado alta
en relación con el objetivo marcado o las expectativas de evolución de los tipos, puede
decidir potenciar la concesión de nuevos préstamos a tipo variable en vez de fijo y,
además, acortar el plazo de los que se concedan a tipo fijo. Evidentemente la gestión
del balance de la entidad a través de políticas comerciales es un proceso lento. Otra
alternativa mucho más flexible es gestionar el balance de la entidad a través de
operaciones de tesorería.

 El área GAP que analiza y gestiona la cartera del CAP Esta área ejecuta las decisiones
tácticas, de cobertura o de toma de posiciones estratégicas adoptadas por el CAP, para
la gestión del riesgo de balance.

D. EL COMITÉ DE RIESGOS

El comité de riesgos es el órgano en el cual el comité ejecutivo delega la responsabilidad de

definir las políticas y procedimientos y de controlar que las áreas de negocio están ejecutando
correctamente la estrategia de gestión de riesgos aprobada por el comité ejecutivo. Debido a
la amplitud de las funciones que desempeñan el CAP y el comité de riesgos, podría entenderse
que en algunos casos las atribuciones de ambos comités se solapan, por lo cual es importante
aclarar y delimitar el alcance de sus responsabilidades:

a. El CAP tiene atribuciones sobre la gestión global del riesgo (mercado y liquidez)
estructural del balance de la entidad.
22
 b. El comité de riesgos tiene atribuciones sobre el control de los riesgos generados
(principalmente mercado y crédito, aunque también operativo y legal, etc.) por las
distintas unidades de negocio de la entidad (incluido el CAP). Deberán formar parte del
comité de riesgos el Director de Riesgos y los máximos responsables de las áreas
operativas involucradas en el proceso de control y medición de riesgos. Los miembros
de este comité deben tener un perfil lo suficientemente técnico como para comprender
las metodologías y procedimientos utilizados en la entidad para medir y controlar
riesgos.

c. Este comité se debería reunir formalmente con la misma periodicidad que el comité
ejecutivo. Las funciones concretas que debe asumir el comité de riesgos, en relación
con el control del riesgo de mercado y crédito, son las siguientes:

d. Asegurar la correcta ejecución de la estrategia de gestión de riesgos e informar al

comité ejecutivo sobre el desarrollo de esta.

e. Definir y asegurar la correcta implantación de políticas, metodologías y procedimientos,

acordes con los riesgos aprobados, que permitan medir y controlar los riesgos
cuantificables (riesgo de mercado y riesgo de crédito).

f. Proponer límites de control de riesgos al comité ejecutivo para su aprobación. •

g. Conocer en detalle las posiciones y los riesgos asumidos en relación a los límites.

h. Aprobar los excesos temporales de límites cuando sea pertinente.

i. Informar al comité ejecutivo de los resultados obtenidos por las diferentes unidades de
negocio en relación con los riesgos asumidos.

j. Proponer al comité ejecutivo la estructura del SIG, así como la información sobre
riesgos que se puede transmitir externamente. Además de los riesgos de mercado y de
crédito, también será responsabilidad del comité de riesgos definir y asegurarse de la
correcta implantación de las políticas y procedimientos necesarios para controlar otros
riesgos. El comité de riesgos delegará el desarrollo de las tareas que se derivan de sus
funciones en el área de análisis y control de riesgos. Semanalmente dicha área remitirá
al comité de riesgos informes que le permitan controlar la ejecución de la estrategia de
gestión de riesgos.

E. COMITÉS DE NEGOCIOS

Como ya se ha indicado anteriormente pueden existir comités para cada uno de los grandes
ámbitos de actividad (tesorería, ahorros, crédito, activos improductivos, operaciones, etc., al
margen de sus responsabilidades relacionadas con la generación de resultados, deben asumir
las siguientes funciones:

23
 a. Garantizar que, en sus ámbitos de actividad, se siguen las directrices marcadas en la
estrategia de gestión de riesgos.

b. Analizar la sensibilidad del resultado de los negocios a las variaciones de los factores
de riesgo.

c. Tomar decisiones sobre las propuestas de gestión de riesgos que realicen las áreas de
negocio.

d. Revisar los informes de gestión de las áreas de negocio, con el fin de analizar los
resultados obtenidos por estas en función de sus objetivos y los riesgos asumidos.

e. Garantizar que las áreas de negocio cumplen las políticas, metodologías y

procedimientos establecidas por el comité de riesgos

V. TIPOS DE RIESGOS

1. DEFINICIONES

a. Riesgo Crediticio

La posibilidad de que un prestatario (cliente) no devuelva el principal o capital de su préstamo

o crédito o no pague los intereses de acuerdo con lo estipulado en el contrato. Riesgo por
impago de un crédito.

b. Riesgo Operativo

En la política de un país tiene como consecuencia la inestabilidad económica del mismo,

considerándose esta como riesgoso para efectuar nuevas inversiones para ampliar
actividades o iniciar nuevas, como también la poca capacidad productiva.

c. Riesgo de liquidez

Las Instituciones Financieras en su actividad diaria necesitan liquidez (disponibilidad), para

hacer frente a la retirada de depósitos y satisfacer la demanda de préstamos de sus clientes.
Esta acepción de liquidez se refiere a la capacidad de una Institución de disponer en cada
momento de fondos necesarios, a su vez el riesgo liquidez refleja la posible pérdida en que
puede incurrir una entidad que se ve obligada a vender activos o contraer pasivos en
condiciones desfavorables.

d. Riesgo Legal

Es la contingencia de pérdida que emana del incumplimiento de la Cooperativa con las leyes,
normas, reglamentos, prácticas prescritas o normas de ética de cualquier jurisdicción en la
que lleva a cabo sus actividades.

e. Riesgo de mercado

24
Es la posibilidad de que ocurran pérdidas en las operaciones activas y pasivas, como
consecuencia de movimientos adversos o contrarios en las variables de mercado, los cuales
vienen a ser los tipos de Interés, tipos de cambio y precios o cotización de títulos valores.

f. Riesgo Reputacional

Es la opinión negativa del entorno externo ocasionada por la afectación de la imagen de una
institución financiera, al verse involucrada involuntariamente en transacciones o relaciones de
negocios ilícitos con socios y clientes, así como por cualquier otro evento externo.

g. Riesgo de Tasa de Interés

Es el efecto en la situación financiera, por posibles pérdidas derivadas de movimientos

adversos en las tasas de interés.

h. Riesgo cambiario

Es el derivado de las fluctuaciones de las paridades de las divisas al que se exponen las
instituciones financieras cuando fijan sus contratos en monedas diferentes.

i. Riesgo de Precio

Es el riesgo actual y potencial sobre ingresos o el capital que surge de los cambios en el valor
de los instrumentos financieros en el mercado.

j. Riesgo de Rentabilidad

Es la capacidad que tiene una persona natural o jurídica para la obtención de incrementos
patrimoniales razonables no atribuibles a las operaciones de los socios, sino a través del giro
del negocio.

k. Riesgo Tecnológico

La innovación tecnológica y su peso dentro de la actividad financiera, han contribuido a que

las instituciones dependan hoy más que nunca de la tecnología y que se expongan a
tremendas pérdidas en caso de posibles fallos del sistema o de los programas que manejan
en su actividad.

l. Riesgo Operacional

Se refiere a las pérdidas potenciales resultantes de sistemas inadecuados, fallas

administrativas, controles defectuosos, fraude, o error humano.

m. Riesgo de Transacción

Asociado con la transacción individual denominada en moneda extranjera: importaciones,

exportaciones, capital extranjero y préstamos.

25
 n. Riesgo Económico

Asociado con la pérdida de ventaja competitiva debido a movimientos de tipo de cambio.

2. RIESGO DE MERCADO

Es el riesgo derivado de la variación en el precio de un activo financiero de renta fija causado

por las variaciones de los tipos de interés; esto es debido a que, si el tipo de interés aumenta,
los “flujos de caja” futuros del activo se descuentan a una tasa mayor, disminuyendo el valor
actual de los mismos.”

De acuerdo con los Principios de Basilea se mencionan criterios de evaluación al que está
expuesto este riesgo así:

 El supervisor determina que el banco cuenta con políticas y procesos apropiados para
definir con claridad las funciones y responsabilidades relacionadas con la identificación,
cuantificación, vigilancia y control del riesgo de mercado. El supervisor está convencido
de que dichas políticas y procesos se cumplen en la práctica y se someten a la vigilancia
del Consejo y la alta dirección.

 El supervisor determina que el banco ha fijado límites apropiados para el riesgo de

mercado que guardan proporción con las dimensiones y complejidad de la institución y
que reflejan todos los riesgos de mercado sustanciales. Los límites deberán ser
aprobados por el Consejo o la alta dirección. El supervisor confirma que se cumplen
todos los límites, ya sean internos o impuestos por el supervisor.

 El supervisor tiene constancia de que hay sistemas y controles que garantizan que
todas las operaciones se registran oportunamente, y de que las posiciones de los
bancos valoradas a precios de mercado se reevalúan con frecuencia utilizando datos
de mercado prudentes y fiables (o, si no se contara con precios de mercado, se
utilizarían modelos internos o aceptados por el sector). El supervisor exige a los bancos
que establezcan y mantengan políticas y procesos para considerar ajustes de
valoración o reservas para posiciones que no puedan valorarse prudencialmente de
otro modo, incluyendo posiciones concentradas, con poca liquidez o muy antiguas.

 El supervisor determina que el banco lleva a cabo análisis de escenarios, pruebas de

tensión (stress testing) y planes de contingencia, según corresponda, y que valida o
pone a prueba periódicamente los sistemas utilizados para cuantificar el riesgo de
mercado. El supervisor confirma que los métodos utilizados se integran en las políticas
y procesos para la gestión del riesgo y que los resultados se tienen en cuenta al diseñar
la estrategia del banco para asumir riesgos.”

3. RIESGO FINANCIERO

El riesgo financiero es uno de los riesgos de mayor impacto relacionados con Servicios
Financieros Digitales. Si bien todos los riesgos comentados en este documento pueden tener
pérdidas financieras directas o indirectas, existen riesgos específicos relacionados con la
administración financiera de un proveedor de Servicios Financieros Digitales como se describe
a continuación.
26
 a. Riesgo de liquidez:

El riesgo de liquidez es el riesgo de que la institución no pueda cumplir con sus obligaciones
de fondos de efectivo y se vuelva insolvente. Los patrones transaccionales, tales como
cantidades promedio de depósito, flujos entrantes, salientes, y plazos, deben monitorearse de
cerca después del lanzamiento de un Servicios Financiero-Digitales, ya que el comportamiento
del cliente puede verse afectado por tener acceso conveniente a los fondos y esto puede
cambiar el perfil activo/pasivo de la institución financiera.

Es el riesgo que representa para las ganancias o el capital cuando un banco presenta
incapacidad para cumplir con sus obligaciones cuando éstas se vencen, pudiendo incurrir en
pérdidas significativas.

En síntesis, es el riesgo de que no haya suficientes activos líquidos para cubrir sus
obligaciones en un momento determinado.

A continuación, se mencionan criterios de evaluación al que está expuesto este riesgo, de

acuerdo con los Principios de Basilea.

 El supervisor fija pautas de liquidez para los bancos, teniendo en cuenta las cantidades
no dispuestas y otras obligaciones de fuera de balance, así como obligaciones
actualmente en balance.

 El supervisor confirma que los bancos cuentan con una estrategia para gestionar su
liquidez, además con políticas y procesos para gestionar el riesgo de liquidez, que
han sido aprobados por el Consejo. También confirma que el Consejo lleva a cabo
una labor de seguimiento para garantizar que se desarrollan políticas y procesos para
la asunción de riesgos con objeto de vigilar, controlar y limitar el riesgo de liquidez, y
que la dirección del banco aplica dichas políticas y procesos con eficacia.

 El supervisor determina que la alta dirección del banco ha definido (o establecido)

políticas y procesos adecuados para vigilar, controlar y limitar el riesgo de liquidez, que
los implementa con eficacia y que comprende la naturaleza y el nivel del riesgo de
liquidez asumido por el banco.

 El supervisor exige que los bancos establezcan políticas y procesos para la

cuantificación y el seguimiento continuos de las necesidades netas de financiación.
Estas políticas y procesos incluyen considerar cómo pueden afectar otros riesgos (por
ejemplo, el riesgo de crédito, de mercado y operacional) a la estrategia de liquidez
global del banco, así como analizar las necesidades de financiación en situaciones
variadas, diversificar las fuentes de financiación, reexaminar los límites de
concentración, realizar pruebas de tensión y reconsiderar con frecuencia las hipótesis
utilizadas para determinar si siguen siendo válidos.

 El supervisor recibe suficiente información para identificar a aquellas instituciones que

realizan la financiación en una divisa distintas de la que reinvierte. Si la actividad con
divisas de un banco o grupo bancario, ya se trate de negociación directa o indirecta a
través de préstamos en divisas a prestatarios locales, fuera significativa, o si una de las

27
 monedas con las que el banco mantiene posiciones sustanciales atravesara por
dificultades, el supervisor exigiría al banco analizar su estrategia por separado para
cada una de las monedas y, cuando corresponda, fijar y revisar con regularidad límites
al tamaño de sus descalces de divisas en su flujo de efectivo tanto de forma agregada
como para cada moneda significativa.

 El supervisor determina que el banco cuenta con planes de contingencia para hacer
frente a problemas de liquidez, que incluyen informar al supervisor.

b. Riesgo crediticio:

El riesgo crediticio es el riesgo de que los clientes no paguen sus préstamos y no tengan
suficientes garantías o la institución no pueda cobrar. En este caso, la institución sigue siendo
responsable ante sus titulares de depósitos y debe encontrar formas alternativas para
repagarles en caso de que los préstamos se vuelvan incobrables.

c. Riesgo de tipo de interés:

El riesgo de que las tasas de interés sobre los fondos prestados aumenten, mientras que, al
mismo tiempo, no se pueda aumentarla tasa de interés cobrada a los clientes debido a tasas
inmodificables sobre préstamos a largo plazo. En este caso, la institución estaría pagando
más intereses a los acreedores que lo que están ganando por prestar, creando pérdidas
financieras significativas.

d. Riesgo cambiario:

Las pérdidas sobre divisas pueden ser incurridas cuando se negocian divisas, o al tener un
desajuste en las monedas en las que se denominan préstamos y depósitos. Los valores en
libros de las obligaciones de deuda pueden crecer sustancialmente por fluctuaciones adversas
en la moneda, resultando en pérdidas. El riesgo cambiario también puede ser un problema si
los ingresos de la organización se generan en un país diferente a donde se incurren sus
costos.

e. Riesgo de concentración:

El riesgo de concentración se refiere a la sobreexposición a una contraparte (crédito) o sector

particular. Si hay una concentración de fondos en un banco particular, la institución corre el
riesgo de una pérdida excesiva de fondos de clientes en caso de que el banco se vuelva
insolvente. La colocación de fondos en múltiples bancos ayudará a mitigar este riesgo, aunque
genera una carga administrativa adicional. Del mismo modo, la excesiva dependencia en un
segmento de clientes en particular puede arriesgar grandes cantidades de ingresos si las
preferencias de los clientes cambian de forma que se retiren grandes cantidades de depósitos.

Se puede describir como la exposición de instituciones financieras de otorgar créditos a un

reducido número de clientes corporativos, grupos, sectores o regiones.

El riesgo de concentración se puede presentar por el lado de la cartera activa, préstamos o

por la parte del pasivo en la captación de depósitos del público.

28
Por ejemplo, que un porcentaje alto de los depósitos se encuentre concentrado en un mismo
cliente y éste decida retirarse del banco, lo cual puede ocasionar riesgo de liquidez y de
reputación, ya que en un momento determinado presente incapacidad para cumplir con sus
obligaciones.

Riesgo Sectorial-Regional “Posibilidad de que ocurra un siniestro por falta de pago de las
operaciones de crédito o de inversiones que la cooperativa ha concentrado en sectores
económicos o regiones administrativas deprimidas o con problemas específicos.”

Este tipo de riesgo expone a las instituciones financieras que tienen relación comercial con un
determinado grupo de personas, de una zona geográfica específica.

4. RIESGO LEGAL

Este tipo de riesgo supone la realización de una pérdida debido a que una operación no puede
ejecutarse por incapacidad de una de las partes para cumplir los compromisos asumidos, por
no existir una formalización clara, o por no ajustarse al marco legal establecido.

De acuerdo con la legislación que aplica a las instituciones bancarias, se requiere del
cumplimiento de ciertos compromisos del ente fiscalizador. En el caso de la Ley contra el
Lavado de Dinero u Otros Activos, las entidades o funcionarios pueden ser enjuiciados por no
haberse protegido contra el riesgo de lavado de dinero u otros activos.

5. RIESGO PAIS DE TRANSFERENCIA

Este riesgo se define como: La exposición a una pérdida, a consecuencia de razones

inherentes a la soberanía y a la situación económica de un país.

Así mismo, está asociado a la probabilidad de incumplimiento en el pago a la institución

financiera que haya invertido en deuda pública de cualquier país. En la determinación de este
riesgo influyen factores económicos, financieros y políticos que pueden afectar la capacidad
de pago del país de que se trate.

Esto quiere decir que el riesgo país se encuentra asociado al ambiente económico, social y
político del país. En cuanto al riesgo de transferencia surge cuando a una institución financiera
ha obtenido un préstamo en moneda distinta a la local, porque pueden surgir circunstancias
extraordinarias, como el control de cambios, que imposibilita cumplir la obligación en la
moneda establecida en el contrato.

6. RIESGO CAMBIARIO

Es la probabilidad de que ocurra una contingencia, debido a que la moneda pactada en las
operaciones de créditos o inversiones es distinta a la moneda de curso legal. Dicha
circunstancia es típica en aquellos casos donde ocurren desvalorizaciones en el tipo de
cambio (depreciación de la moneda local).

Cuando se demora el pago de una transacción internacional tanto el comprador como el

vendedor están expuestos al riesgo de que el tipo de cambio pueda variar en un determinado
intervalo de tiempo. Las consecuencias a que están expuestas las instituciones financieras
van desde perder sumas de dinero en efectivo, credibilidad y confianza ante los clientes.

29
 7. RIESGO DE LAVADO DE ACTIVOS

Es la posibilidad de pérdida o daño que pueda sufrir una entidad financiera, en la medida de
ser utilizada para transferir, esconder o atesorar el producto de actos ilícitos provenientes de
la delincuencia organizada. Dentro de los principales riesgos que se encuentran asociados se
están el reputacional, legal, operacional y de contagio.

8. RIESGO DE TASA DE INTERES

Desequilibrios que afectan la rentabilidad del banco, como producto de una descompensación
en el perfil de las tasas de interés activas y pasivas que se podrían generar, entre otras
razones, por descalces en la composición de los vencimientos de las operaciones.

El riesgo de tasa de interés se produce como consecuencia de cambios bruscos en las tasas
de interés y por consiguiente en el margen financiero, afectando la rentabilidad de la entidad.

9. RIESGO DE REINVERSION

Es la probabilidad de que el valor de los intereses generados por una inversión y el capital al
vencimiento de estos tenga que ser reinvertido a una tasa de interés menor que la inversión
original, debido a una disminución en las tasas de interés del mercado.

Este riesgo ocasiona una disminución en las utilidades previstas por la institución en un
período determinado.

10. RIESGOS DE CALCE

Falta de equilibrio en los plazos de vencimiento pactados en las operaciones activas y pasivas.

Por ejemplo, el producto que la institución percibe de los intereses de préstamos concedidos,
sea posterior a la fecha en que hay que cumplir con los compromisos de los depósitos
adquiridos en la cartera pasiva. Como consecuencia origina falta de liquidez.

11. RIESGO BURSATIL

La probabilidad de ocurrencia de un hecho económico, social o político, que genere volatilidad

de fondos en los mercados, creándose un efecto propicio que tenderá a la desvalorización de
los instrumentos del mercado de valores.

En este caso se ve afectado el sector financiero que posee inversiones, que se operan en
mercado bursátil.

12. RIESGO DE CONTAGIO

Ocurre cuando las posibilidades del siniestro en un banco o de un grupo de bancos, podría
contagiar al resto de los intermediarios que componen el sistema financiero del país.

Un efecto de este riesgo se puede presentar, por ejemplo: un problema en una institución
bancaria genere problemas al resto de instituciones.

30
 13. RIESGO SOBERANO

Este riesgo se refiere al análisis del riesgo del país, que pretende detectar factores políticos y
sociales que afecten globalmente al país.

14. RIESGO FORANEO

En el caso del riesgo foráneo es importante de donde provenga el capital, puesto que si en la
actualidad un banco privado de Guatemala recibe fondos bajo cualquier figura (préstamos,
aportación al capital, deuda subordinada) se deben establecer las siguientes políticas:

 De qué país proviene el capital.

 La finalidad (cuál es el objeto de situar los fondos en Guatemala)

 Si existe alguna reciprocidad con la institución que está otorgando los recursos.

 Si el país que envía los fondos se encuentra con problemas o alto grado de riesgo.

La institución financiera deberá adoptar políticas bien definidas para evitar que se encuentre
en determinado momento con problemas, por haber recibido fondos de países de reputación
no honorable.

15. RIESGO TECNOLOGICO

El riesgo tecnológico tiene varias implicaciones para los proveedores. Con la incapacidad de
realizar transacciones, los clientes pueden perder la confianza en el producto si no pueden
acceder a sus fondos. Esto puede crear riesgos reputacionales y pérdidas financieras a
medida que los clientes se vuelven inactivos y la presión competitiva les proporciona opciones.

Los fallos tecnológicos también dejan oportunidades para que los estafadores aprovechen las
insuficiencias del sistema para realizar transacciones no autorizadas que resulten en robo de
fondos.

Riesgo Tecnológico se refiere al fracaso tecnológico que conduce a la incapacidad para

realizar transacciones. Está estrechamente vinculado al riesgo operacional. Las transacciones
dentro de un Servicio Financiero Digital viajan a través de varios sistemas y dispositivos de
comunicaciones para iniciar la transacción, transferir fondos y enviar confirmaciones a los
clientes.

El proceso puede estar expuesto a averías potenciales de una serie de fuentes, por ejemplo,
hackeo, fallas de energía, fallas del sistema, etc., y cualquier ruptura en esta cadena conduce
a la incapacidad para completar una transacción. Si el fallo tecnológico es persistente y severo,
el regulador puede intervenir e imponer sanciones o revocar la licencia, o los clientes pueden
abandonar el servicio.

Al determinar los niveles de servicio proporcionados por la tecnología, la mayoría de los

departamentos técnicos se centran en la calidad y disponibilidad de la tecnología de la que
son responsables.

31
Para Servicios Financieros Digitales complejos de múltiples componentes, esto puede
conducir a una mentalidad de silo en la que cada equipo intenta pasar la culpa de un fallo del
sistema a otro socio. Por lo tanto, es importante contar con procesos claros y acordados de
diagnóstico, resolución y escalamiento de fallas.

Otro riesgo potencial en la división de responsabilidades es que cada equipo técnico mide la
calidad de servicio de su parte del sistema solamente y puede ser difícil obtener una imagen
completa de la experiencia del usuario final.

“La innovación tecnológica y su peso dentro de la actividad financiera han contribuido a que
las instituciones financieras dependan hoy más que nunca de la tecnología y que se expongan
a tremendas pérdidas en caso de posibles fallos del sistema.”

Dentro de este tipo de riesgo y como estrategia de mercado se encuentra el uso de comercio
electrónico, el cual aumenta el riesgo tecnológico y obliga a las instituciones a establecer que
las relaciones de negocios con los clientes que cuentan con este servicio se realicen bajo las
mismas políticas, procedimientos y metodologías de los canales de distribución físicas
(agencias, puntos de servicio).

También se consideran dentro del riesgo tecnológico las transferencias y compensaciones

electrónicas de fondos. Es importante mencionar que derivado del ingreso de nuevas
tecnologías los bancos cada vez más utilizan los canales electrónicos, para realizar
transacciones y proporcionar sus productos y servicios a los clientes. Además del riesgo
tecnológico las instituciones bancarias para ofrecer los servicios de Banca por internet se
exponen a otros riesgos tales como:

A. Riesgo bajo: Se refiere a instituciones que brindan información de sus productos y

servicios.

B. Riesgo Moderado: Cuando las instituciones ofrecen información relacionada con

cuentas de ahorro y actualización de datos generales y personales.

C. Riesgo Mayor: Se origina porque las instituciones permiten a sus clientes realizar
transacciones financieras. Dentro de los principales riesgos a que se exponen las
instituciones financieras por ofrecer los servicios de Banca por Internet figuran los
siguientes:

a. Riesgo Estratégico

b. Riesgo de Transacción

c. Riesgo de Cumplimiento

d. Riesgo de Reputación

e. Riesgo de Seguridad de la Información

f. Riesgo de Crédito

32
 g. Riesgo de Tasa de Interés

h. Riesgo de Liquidez

i. Riesgo de Precio y

j. Riesgo de Cambio en la Moneda Extranjera.

16. RIESGO DE REPUTACION

A este riesgo también se le denomina riesgo reputacional y consiste en la posibilidad de

pérdida o daño debido a publicidad negativa de la institución, cierta o no, que cause pérdida
de clientes o disminución de ingresos o procesos judiciales. Asimismo, surge por fallas
operacionales, del incumplimiento de leyes y reglamentos.

Este riesgo constituye una gran amenaza para la cooperativa, quién necesita mantener la
confianza con sus clientes (depositantes), acreedores y el mercado en general.

Las cooperativas en el giro del negocio financiero se encuentran expuestas a diferentes tipos
de riesgo, por consiguiente, deben desarrollar e implementar sistemas de gestión de riesgos
que le permitan identificar, medir, monitorear, controlar y prevenir los riesgos de acuerdo con
sus propias necesidades.

Una mejor administración de riesgo conlleva a cumplir con los principios básicos para una
supervisión efectiva emitidos por el Comité de Basilea.

Cuando una institución financiera es capaz de medir y controlar sus riesgos, verá aumentada
su capacidad de apalancamiento financiero (una menor necesidad de fondos propios sobre el
total del pasivo) lo cual se traduce en mayor capacidad competitiva y de inversión.

17. RIESGO OPERACIONAL

El riesgo operacional es definido por el comité de Basilea II como "El riesgo de pérdida
resultante de inadecuados o fallidos procesos internos, de la gente, y de sistemas, o de
acontecimientos externos" incluyendo el riesgo legal, pero excluyendo los riesgos estratégicos
y reputacionales.

Aunque muchos bancos consideran que el riesgo reputación es de importancia considerable

y de un aspecto clave en sus esfuerzos en la administración del riesgo, es visto a menudo
como secundario, causado por riesgo del crédito, operacional o de mercado.

Riesgo operacional es la posibilidad que se produzca una pérdida financiera, originada por
acontecimientos inesperados en el ambiente operativo y tecnológico de una institución.

También es importante mencionar que existen consecuencias, procedentes por pérdidas en

riesgo operacional en las instituciones financieras, las cuales son:

 Directas: pérdida directa, riesgo legal y riesgo regulatorio e

33
  Indirectas: Imagen y disminución o interrupción del negocio. De acuerdo con el
principio 15 de Basilea, “Los supervisores deben tener constancia de que los bancos
cuentan con políticas y procesos de gestión de riesgos para identificar, evaluar, vigilar
y controlar/mitigar el riesgo operacional. Estas políticas y procesos han de ser
proporcionales a las dimensiones y complejidad del banco en cuestión. Suele ocurrir
dos cosas: el control de gestión falló y la gerencia en consecuencia no fue capaz de
supervisar adecuadamente a los empleados que exponían al banco a pérdidas, o
políticas y procedimientos administrativos mal definidos que pueden conducir
inadvertidamente a la quiebra del banco. Este riesgo se controla o se minimiza, cuando
existe una razonable seguridad que la calidad e idoneidad de los controles internos,
operativos, de proceso, de gestión y los requerimientos tecnológicos del banco, marcha
dentro de los niveles adecuados. El riesgo operativo, disminuye en la medida en que el
riesgo de control es funcional y eficiente.

El riesgo operacional es inherente a cualquier negocio y se refiere a los riesgos asociados con
productos, prácticas comerciales, daños a los activos físicos, así como la ejecución, entrega
y gestión del proceso del servicio. En la práctica se refiere a la amplia y diversa gama de
actividades necesarias para administrar el negocio.

Los riesgos operacionales, en su mayoría, son internos a la organización y por lo tanto pueden
ser manejados cuidadosamente. En términos de Servicios Financieros Digitales, la nueva área
crítica de operación es el negocio diario de apoyar al canal. Esto puede incluir funciones que
tocan todas las partes del negocio, tales como:

A. Operaciones de ventas: capacitación y administración continua de los ejecutivos de

cuentas.

B. Operaciones de servicio al cliente: prestación de asistencia a usuarios externos del

servicio (clientes y otros) y escalamiento de problemas que no puedan resolver.

C. Operaciones de back office: tales como la creación y edición de cuentas

empresariales, solución de problemas y pruebas de cualquier cambio en el servicio
(normalmente actualizaciones operativas menores)

D. Operaciones financieras: incluyendo la creación de dinero electrónico y asegurar que

la cuenta bancaria y de dinero electrónico (control) coincidan, y presentar informes de
negocios

E. Operaciones técnicas: proveer el ambiente de hosting y soporte para la tecnología.

F. Procesos de negocio: La clave para operaciones eficientes que minimizan el riesgo

es tener procesos de negocio de alta calidad, eficientes y efectivos. Los procesos de
negocio siempre deben agregar valor a los clientes y mitigar los riesgos. Aunque
muchas instituciones culpan a la tecnología o gobernanza como la causa del fraude,
muchos casos de fraude interno importante de Servicios Financieros Digitales se
pueden ubicar en procesos de negocios inadecuados (o inexistentes) que permitieron
a los estafadores abusar del servicio. Cada proceso operacional que se lleva a cabo de

34
 manera habitual debe documentarse, describiendo lo que se debe hacer, cómo hacerlo
y quién es el responsable de hacerlo. Los procesos de negocios también deben atender
las excepciones, especificando qué hacer si algo sale mal en cualquier momento del
proceso y no se puede seguir la ruta estándar. Las auditorías internas se utilizan para
asegurar que los procesos de negocios sean respetados por el personal. Los procesos
de negocio deben revisarse y actualizarse periódicamente para asegurar que siguen
siendo pertinentes. Esto es particularmente importante en la primera parte del ciclo de
vida del servicio. A las pocas semanas de lanzar un servicio, la brecha entre la
expectativa y la realidad para muchos procedimientos se vuelve obvia. Se recomienda
que los borradores de los procesos de negocios creados antes del lanzamiento sean
revisados y finalizados tres o cuatro meses después del lanzamiento, cuando el equipo
de operaciones tenga experiencia en operaciones reales. Después de eso, idealmente
se deben revisar anualmente.

G. Control interno: Los procedimientos de control interno se utilizan para proteger contra
el fraude, las interrupciones, el riesgo reputacional y el riesgo de crédito, asegurando
la adherencia a los procesos de negocio. El departamento de control interno realiza
auditorías operativas en la organización para asegurar que se usen procedimientos
correctos en términos de transacciones, apertura de cuentas, y estándares de marca.
El departamento de control interno evalúa la efectividad de dichos procedimientos y
normas, y hace sugerencias y revisiones de políticas y procedimientos basados en un
proceso continuo de retroalimentación y aprendizaje.

H. Auditoría interna: Las auditorías internas proporcionan garantía y verificación de

procesos y controles. El departamento de auditoría interna es responsable de asegurar
que la información financiera sea precisa y refleje el estado real de los asuntos
financieros de la institución; que los riesgos empresariales sean evaluados y mitigados;
y que los controles sean efectivos. La auditoría interna puede realizar auditorías
financieras mensuales de la institución, funciones y procesos de alto riesgo, así como
auditorías operacionales de sucursales y corresponsales, asegurar una adecuada
gestión de liquidez, registro de transacciones y detectar fraude de corresponsales y
otros delitos.

I. Separación de Funciones: La separación de funciones es una metodología de

procedimientos que asegura que existan pesos y contrapesos adecuados para proteger
contra conflictos de intereses y fallas de control. Un ejemplo de separación de funciones
es el principio contable (a veces conocido como, ejecutor, verificador y aprobador) por
el cual la persona que lleva a cabo una transacción o proceso está separada de la que
registra o revisa la actividad y la que, valida la actividad, para minimizar los errores y
las oportunidades de fraude y mala gestión de los fondos. Los sistemas informáticos
pueden configurarse para que haya acceso basado en roles según los requisitos de
cada función de trabajo. Un ejemplo de acceso basado en roles es hacer cumplir la
separación de funciones de manera que un operador solo pueda acceder a las
funciones requeridas para desempeñar su trabajo. Por ejemplo, atención al cliente no
necesita acceso al área financiera donde se crea el dinero electrónico; finanzas no
necesita tener acceso al área de ventas donde se crean las cuentas; los miembros
ejecutivos de cuentas pueden tener acceso a las tareas ejecutor, pero no a las tareas
del verificador; y así sucesivamente.

35
J. Informes Externos: Generalmente, los informes se realizan trimestralmente para la
presentación de informes financieros, y semestrales para la presentación de informes
cualitativos sobre el progreso, los retos y las lecciones aprendidas.

K. Auditoría Externa (Financiera): La mayoría de las cooperativas, especialmente las

que tienen dentro de sus actividades el ahorro y crédito, deben hacer auditorías
externas al menos una vez al año. Una auditoría externa se centra en la información
financiera de la institución y para garantizar la contabilización exacta de las
transacciones, así como una adecuada depreciación y valoración de los activos de la
institución. También puede incluir revisiones adicionales a los controles,
particularmente para actividades y procesos de alto riesgo.

L. Daños a Activos Físicos: El daño a los activos físicos puede resultar del desgaste
normal, desastres naturales, actos de terrorismo o vandalismo. Los riesgos pueden
ampliarse usando Servicios Financieros Digitales, ya que los activos físicos están en
fideicomiso a partes externas, y pueden estar en lugares geográficos donde la
institución no hace visitas regulares en persona. Es importante que el daño potencial a
los activos físicos se incluya como parte de los planes de continuidad de negocio y
planes de recuperación de desastres. Las posibles estrategias de mitigación pueden
incluir seguros patrimoniales, sistemas de respaldo y almacenamiento externo de
datos.

M. Ejecución, Entrega y Gestión de Procesos: El riesgo operacional derivado del error

del operador en la ejecución, la entrega y la gestión de procesos incluye riesgos tales
como, errores en el procesamiento de datos, errores contables, falta de informes
obligatorios y pérdida negligente de activos del cliente. Está estrechamente vinculado
al riesgo tecnológico y es más frecuente en Servicios Financieros Digitales debido a la
tercerización de la transacción a los corresponsales. La mitigación del riesgo de error
del operador puede incluir la separación de funciones entre la persona que realiza la
transacción u otra actividad, la persona que la registra o revisa y la persona que la
aprueba; el acceso basado en roles a los sistemas; formación de corresponsales y
personal; supervisión; transacciones en cuentas transitorias; el monitoreo de
transacciones sospechosas para alertar de errores frecuentes en la secuencia de la
transacción o corresponsales o personal específico que cometen errores
frecuentemente. Análisis de datos, paneles de control y algoritmos pueden ser
herramientas poderosas para mitigar los errores de los operadores si son seguidos por
resolución, capacitación o mejoras de políticas que reducen el riesgo de errores
continuados.

N. Variaciones en Conciliación y Cuentas: El riesgo de que el valor real de las cuentas

sea diferente del monto reflejado en el sistema, así como el riesgo de que las
transacciones fuera de la red (por ejemplo, retiros, depósitos realizados directamente a
cuentas bancarias, pagos de facturas) no se concilien con cuentas internas. Siempre
puede haber alguna diferencia, pero los altos niveles de variación, o aquellos que son
irreconciliables, pueden conducir a pérdidas financieras.

36
 18. RIESGO ESTRATEGICO

El riesgo estratégico se define en sentido amplio como las pérdidas reales que resultan de
seguir un plan de negocios equivocado o las pérdidas potenciales resultantes de
oportunidades perdidas.

Algunos ejemplos de esto pueden ser productos ineficientes; no ser capaces de responder al
cambio del entorno de negocios, o distribución inadecuada de recursos.

A medida que crece la dependencia de la tecnología, los proveedores se ven altamente

expuestos al riesgo resultante de la innovación y los cambios bruscos de las tecnologías y del
mercado.

Establecer la estrategia de la empresa es generalmente responsabilidad del Consejo de

Administración, la cual debe aportar su experiencia de otras empresas e industrias a la
identificación de los riesgos a la estrategia de Servicios Financieros Digitales de la compañía.

Los riesgos estratégicos incluyen aquellos relacionados con el de las marcas, las tendencias
económicas, la reputación, los modelos de negocios y las posiciones competitivas. También
está relacionado con la tecnología, que requiere un sistema confiable, utilizable, escalable y
seguro para minimizar el riesgo estratégico.

Los proveedores deben tener un entendimiento profundo de la naturaleza y alcance de los

riesgos relacionados con su estrategia de negocios y la tolerancia a su impacto potencial.

Para abordar el riesgo estratégico, los proveedores deben centrarse en recoger datos y
entender las perspectivas de fuentes externas, incluyendo clientes, Blogger, quienes
establecen tendencias en la información, los competidores y analistas del mercado.

Para muchas ofertas de Servicios Financieros Digitales, la competencia puede ser muy
diferente de la de la organización central, y estos nuevos competidores deben ser identificados
y entendidos.

Se pueden utilizar modelos financieros para construir análisis de escenarios y pruebas de

estrés para comprender mejor los principales factores de la rentabilidad, tales como volumen,
valor, ingresos y costos.

19. RIESGO POLITICO

El riesgo político es la posibilidad que decisiones políticas, acontecimientos o condiciones

afecten significativamente la rentabilidad de un negocio o el valor esperado de una
determinada acción económica.

Las instituciones se enfrentan a riesgos políticos como resultado, entre otras cosas, de
desórdenes civiles, terrorismo, guerra, corrupción, crecimiento económico lento o en retroceso
o condiciones económicas negativas tras cambios en política fiscal o monetaria establecidos
por el gobierno.

37
Los eventos causados por el riesgo político tienen impacto en el riesgo operacional, en
particular la interrupción del negocio, y deben ser incluidos en los planes de continuidad del
negocio.

Los riesgos políticos están fuera del control de las organizaciones y los clientes afectados por
ellos, pero pueden tener un impacto grave en el negocio. Aunque no pueden evitarse, en
algunos casos se pueden predecir, como en las elecciones conocidas, y las contingencias
establecidas en caso de que se materialicen los riesgos.

20. RIESGO DE FRAUDE

El fraude es un riesgo importante para los Servicios Financieros Digitales y es causa de mucha
preocupación para los proveedores de Servicios Financieros Digitales.

El riesgo de fraude es multifacético y se relaciona con varios otros riesgos. El riesgo

operacional y tecnológico puede causar riesgo de fraude, y el fraude puede conducir a un
riesgo financiero.

El fraude también es un factor importante de riesgo reputacional. Grandes casos de fraude en

dinero electrónico se han reportado en los últimos años que han causado daños financieros
de millones de dólares. Estos han sido debido al fraude de clientes, corresponsales y
empleados al crear cuentas fantasmas y realizar transacciones fraudulentas. Han sido
robados fondos a proveedores, corresponsales y clientes.

El fraude puede tener un gran impacto en la reputación de una institución y en la industria en

su conjunto. Si los fondos son robados de cuentas de clientes por culpa del proveedor, los
proveedores deben asegurarse de que los fondos se devuelven a los clientes de inmediato.

El proceso de prevención del fraude incluye el desarrollo de evaluaciones para entender dónde
se puede detectar y prevenir el fraude, determinar el apetito de riesgo y establecer controles
efectivos.

En general, el fraude puede definirse como fraude mayor, que implica sumas muy grandes y
generalmente se realiza contra la institución financiera, a menudo por parte del personal; y el
fraude menor, que involucra a corresponsales o clientes como víctimas o autores y sumas
menores de dinero. Hay muchas razones por las que las personas cometen fraude, pero un
modelo común para juntar a una serie de éstas es El Triángulo del Fraude.

La premisa es que el fraude es probable que resulte de una combinación de tres factores
generales:

 Presión (o motivación para cometer fraude);

 Oportunidad (típicamente debido a sistemas o procesos deficientes); y

 Racionalización (típicamente que no serán atrapados).

38
Una de las maneras más eficaces para prevenir el fraude es reducir la oportunidad, al tener
una excelente tecnología, y procedimientos de prevención y detección. Esto refuerza la
necesidad de la gestión de riesgo de fraude.

VI. ACTIVIDADES ILICITAS

Actividades Ilícitas Son acciones prohibidas en la ley, realizadas fuera de un marco jurídico,
las cuales son llevadas a cabo por personas individuales, organizaciones, bandas delictivas o
delincuencia organizada. Este tipo de actividades se desarrollan en todo el mundo, entre las
más comunes podemos mencionar, tráfico de drogas, contrabando de armas, corrupción,
desfalco, malversación pública, extorsión, pornografía infantil, tráfico de personas, blanqueo
de capitales, contrabando y evasión de impuestos.

Cada una de estas actividades daña gravemente la sociedad, economía e imagen del país,
incrementando los niveles de violencia, criminalidad y exposición al uso de los productos y
servicios de las instituciones financieras para el lavado de dinero.

a. Definición La actividad ilícita

Se define como “Inobservancia de un mandato legal. Actividad contraria a la ley.” Se considera

que una actividad ilícita son todas aquellas actividades que no cumplen con lo establecido en
las leyes impuestas por el Congreso de la República, relacionado a la Ley Contra el Lavado
de Dinero u Otros Activos y Ley para Prevenir y Reprimir el Financiamiento al Terrorismo, y
demás leyes aplicables a nivel internacional.

b. Tráfico de Drogas o Estupefacientes

Comúnmente llamado narcotráfico o venta ilegal de narcóticos. “El narcotráfico es el comercio

ilegal de droga, éste se produce a escala global desde el cultivo en países subdesarrollados
hasta su consumo. La drogadicción ha traído importantes consecuencias sociales: crimen,
violencia, corrupción, marginación, etc. Debido a lo anterior la mayoría de los países del
mundo prohíben, la producción, distribución y venta de estas sustancias.

La mayor parte de la droga es producida en países del tercer mundo (muchos países de
Sudamérica, Sureste Asiático y Oriente Medio) y después se introduce de contrabando en los
países consumidores”.

Dentro del comercio de drogas se puede mencionar las siguientes: Anabolizantes, cannabis,
alcohol, tabaco, opio, heroína, cocaína, morfina, metanfetaminas etc.

c. Contrabando de Armas

“Contrabando es la entrada o la salida y venta clandestina de mercancías prohibidas o

sometidas a derechos en los que se defrauda a las autoridades locales.” El tráfico de armas
de forma paralela al narcotráfico se muestra como el problema que más afecta la seguridad
de la región, debido a que su manejo clandestino está fuera del control de los Estados y son
utilizadas por la guerrilla o grupos paramilitares. En Latinoamérica uno de los países más

39
afectados es Colombia ya que es considerado como el país con mayor índice de contrabando
y tráfico de material de guerra.

d. Corrupción

“La corrupción consiste en un acuerdo inmoral entre un corruptor y un corrupto, o entre

corruptos aliados en perjuicio de otros, que beneficia a algunos en sus propósitos particulares,
por encima de la ley en el plano político.

La corrupción consiste en el uso y el poder público para el logro de beneficios particulares o

sectoriales, que no se identifican ni comulgan con el bien común. Según Sayed y Bruce (1998).
Consiste en “el mal uso o el abuso del poder público para beneficio personal y privado”
entendiendo que este fenómeno no se limita a los funcionarios públicos.

También se define como el conjunto de actitudes y actividades mediante las cuales una
persona transgrede compromisos adquiridos con otras personas, utilizando los privilegios
otorgados, esos acuerdos tomados, con el objetivo de obtener un beneficio ajeno al bien
común.
Por lo general se refiere a los gobernantes o funcionarios que se dedican a aprovechar los
recursos del Estado para enriquecerse. La corrupción ha evolucionado y aumentado a lo largo
de muchos años en gobiernos y países, que hay iniciativas a nivel de organismos multilaterales
como la Organización de Naciones Unidas (ONU) y la Organización de Estados Americanos
que promueven actividades para lograr comprometer a los gobiernos a una lucha contra la
corrupción. Guatemala, en agosto 2001, se adhirió a la Convención Interamericana Contra la
Corrupción.
Las causas pueden ser endógenas (internas) y exógenas (externas).
Las endógenas tienen que ver con el individuo y son:
 Falta de valores humanistas

 Carencia de una conciencia social

 Falta de educación

 Desconocimiento legal

 Baja autoestima

 Paradigmas distorsionados y negativos (consumistas, materialistas)

Dentro de los elementos exógenos tenemos:

 La impunidad de los actos de corrupción

40
  Los modelos sociales que trasmiten antivalores

 Un excesivo poder discrecional del funcionario público

 La concentración de poderes y de decisión en ciertas actividades del gobierno

 El soborno internacional

 El control económico o legal sobre los medios de comunicación que impide se exponga
a luz pública los casos de corrupción

 Salarios demasiado bajos

 Falta de transparencia en la información concerniente a la utilización de los fondos

públicos y de los procesos de decisión

 La poca eficiencia de la administración pública y

 Una extrema complejidad del sistema”.

e. Desfalco

Se define como “apropiación indebida de bienes o dinero ajeno por parte de la persona que
ha de custodiarlos.”

También es el hecho de sustraer parte de los valores o fondos que han sido confiados a una
persona por razón de su empleo o cargo. Es un delito equiparado a la estafa y penado por la
ley de acuerdo con su gravedad.

f. Fraude Fiscal

El funcionario o empleado público o privado, empresario etc. que, interviniendo por razón de
su cargo en alguna comisión de suministros, contratos, ajustes o liquidaciones de efectos de
haberes públicos, se concertare con los interesados o especuladores, o usare de cualquier
otro artificio para defraudar al Estado, será sancionado con prisión de uno a cuatro años.

También se puede definir como engaño, dolo, simulación deliberada.

g. Crímenes de Guante Blanco

El Diccionario de Lavado de Activos de la Federación Latinoamericana de Bancos, define el

crimen como “Delito grave, que consiste en matar o herir gravemente a alguien”.

41
El crimen de guante blanco se refiere a la corrupción, la delincuencia, el crimen organizado,
asesinatos, manejo corrupto de corporaciones, corrupción política.

h. Malversación Pública

“Se considera malversación de caudales o efectos públicos su sustracción, o el consentimiento

para que ésta se verifique, o su aplicación a usos propios o ajenos por parte de quien los tenga
a su cargo.”

En España, los hechos se concretan exclusivamente a supuestos de malversación o alcance.

El artículo 447 del Código Penal (Decreto 17-73 del Congreso de la República de Guatemala)
establece que: “El funcionario o empleado público que diere a los caudales o efectos que
administrare una aplicación diferente de aquella a que estuvieren destinados, será sancionado
con multa de cien a unos mil quetzales. La sanción señalada se aumentará al doble, si a
consecuencia de la malversación resultare daño o entorpecimiento del servicio a que los
caudales o efectos estuvieren consignados”

i. Extorsión

“La extorsión es un delito consistente en obligar a una persona, a través de la utilización de

violencia o intimidación, a realizar u omitir un acto o negocio jurídico con ánimo de lucro o con
la intención de producir un perjuicio de carácter patrimonial o bien del sujeto pasivo, bien de
un tercero.”

Extorsión es “Quien, para procurar un lucro injusto o para defraudarlo obligare a otro, con
violencia, a firmar, suscribir, otorgar, destruir o entregar algún documento, a contraer una
obligación o a condonarla o a renunciar a algún derecho será sancionado con prisión de uno
a seis años”

Este acto ilícito es más amplio que el delito de robo o hurto porque no sólo daña el patrimonio,
sino que también lesiona la libertad de la persona.

j. Trabajo Ilegal

Es la acción o efecto que desarrollan personas indocumentadas para producir algo con el fin
de obtener una remuneración. Además, se señala como trabajo ilegal la actividad laboral que
desarrollan menores de edad ya sea en su país de origen o por el nivel de pobreza han
emigrado a otros países, y se encuentran en busca de una mejor calidad de vida, aunque se
encuentren alejados de sus familias. Asimismo, la utilización de menores de edad en
pornografía infantil.

k. Terrorismo

“El terrorismo es una sucesión de actos de violencia que se caracteriza por inducir terror en la
población civil de forma premeditada. Dentro de los comportamientos forzados por la
amenaza del terrorismo en dicha población civil se incluyen la aceptación de condiciones de
muy diversa índole: políticas, económicas, lingüísticas, de soberanía, religiosas, etc. Cuando

42
este tipo de estrategias es utilizado por gobiernos oficialmente constituidos, se denomina
terrorismo de Estado.

El diccionario de la Real Academia Española, en su versión 2003 que modifica la anterior

incluyendo una tercera aceptación, define el “terrorismo” como:

1. Dominación por el terror.

2. m. Sucesión de actos de violencia ejecutados para infundir terror.

3. m. Actuación criminal de bandas organizadas, que, reiteradamente por lo común de

modo indiscriminado, pretende crear alarma social con fines políticos.

Los EE. UU. desde 1983, con propósitos estadísticos y analíticos han utilizado las siguientes
definiciones referentes al terrorismo que se recogen en el Título 22 del Código de los Estados
Unidos, sección 2656f (d).

“Terrorismo: Violencia premeditada y con motivos políticos perpetrada contra objetivos civiles
por grupos subnacionales o agentes clandestinos, generalmente con la intención de influenciar
a un público determinado”

Según el artículo 391 del Código Penal, Decreto 17-73 del Congreso de la República de
Guatemala, define el terrorismo en la forma siguiente: “Quien, con el propósito de atentar
contra el orden constitucional o de alterar el orden público ejecutare actos encaminados a
provocar incendio o a causar estragos o desastres ferroviarios, marítimos, fluviales o aéreos.

El responsable de dicho delito será sancionado con prisión inconmutable de diez (10) a treinta
(30) años, más multa de veinticinco mil dólares (US$25,000.00) a ochocientos mil dólares
(US$800,000.00) de los Estados Unidos de América, o su equivalente en moneda nacional.
Si se emplearen materias explosivas de gran poder destructor para la comisión de este delito,
el o los responsables serán sancionados con el doble de las penas.”
VII. SISTEMA DE EVALUACION DE RIESGOS SEGÚN COSO II

1. Prefacio
Por más de una década, el comité de organizaciones patrocinadoras del Treadway
Commission (COSO) publicó el “marco integrado de control interno” para favorecer negocios,
para determinar y realzar sus sistemas de control interno. Este marco se está incorporando
dentro de las políticas, reglas, y regulaciones de muchas empresas para un mejor control de
sus actividades, con el fin de alcanzar los objetivos propuestos.
En los últimos años, las empresas han estado altamente enfocadas al riesgo de gestión,
llegando a asegurar que existe la necesidad de un marco más fuerte que identifique, determine
y maneje con eficacia los riesgos.
El período de desarrollo de esta estructura fue marcado por una serie de escándalos y faltas
financieras de alto perfil, en donde inversionistas, personal de las organizaciones y otros
sostenedores sufrieron gigantescas pérdidas. Tras estas desgracias se convocó a importantes
corporaciones de Gobierno en relación con la gestión del riesgo, con nuevas políticas,

43
regulaciones y estándares. La necesidad de un marco de riesgo operacional en la empresa,
que entregara claves y conceptos fundamentales, un lenguaje común, dirección y guía clara,
se hizo cada vez más imprescindible. COSO manifiesta que el “marco integrado de gestión
del riesgo empresarial” satisfacer esta necesidad, y será ampliamente aceptado por las
compañías y otras organizaciones, más aún por los sostenedores y otras partes interesadas.
Este marco trajo consigo consecuencias en Estados Unidos con la ley Sarbanes-Oxley en el
año 2002, y en otros países se están promulgando o siendo consideradas legislaciones
similares.
Esta ley extiende la antigua necesidad de compañías públicas, de mantener sistemas de
control interno, solicitando a los gerentes certificar y a los auditores independientes atestiguar
la efectividad de estos sistemas.
El “marco integrado de control interno”, que continúa a prueba, atiende a un estándar de
aceptación general para la satisfacción de esas necesidades divulgadas. Este “marco
integrado de gestión del riesgo empresarial” amplía el control interno, proporcionando un
enfoque más concreto y cuantioso de la gestión del riesgo empresarial.
Aun cuando no se piensa sustituir el marco de control interno, se pretende incorporar dentro
de él un control, las compañías pueden decidir mirar este marco de gestión del riesgo
empresarial para satisfacer sus necesidades internas del control y para moverse hacia un
proceso más completo de la gestión del riesgo.
Entre los desafíos más críticos para las gerencias está el determinar cuan preparada está la
entidad para aceptar los riesgos mientras procura crear valor. Este informe ayudará a enfrentar
de mejor forma estos desafíos.
2. Definiciones Generales

a. Incertidumbre y Valor
La premisa subyacente en la gestión de riesgos corporativos es que cada entidad existe con
el fin último de generar valor para sus sostenedores. Cada entidad se ve enfrentada a la falta
de certeza y el desafío para la gerencia es determinar cuanta incertidumbre es aceptable
cuando se realiza el esfuerzo de aumentar el valor para los sostenedores. La gestión de
riesgos corporativos permite a la gerencia identificar, evaluar, y manejar riesgos ante la
incertidumbre, y es fundamental en la creación y preservación de valor. La incertidumbre
implica riesgos y oportunidades, con el potencial de poder desgastar o realzar el valor. La
gestión de riesgos corporativos permite a la gerencia encargarse efectivamente de la
incertidumbre y sus riesgos y oportunidades asociados, realzando la capacidad de generar
valor. El valor se maximiza cuando la gerencia establece objetivos y estrategias para lograr
un óptimo equilibrio entre las metas de crecimiento y rentabilidad y los riesgos asociados
relacionados, y desplegar recursos de manera eficaz y eficiente a fin de lograr los objetivos de
la entidad. La gestión de riesgos corporativos incluye las siguientes capacidades:
b. Alinear el riesgo aceptado y la estrategia
La gerencia considera al riesgo aceptado de la entidad en la evaluación de las alternativas
estratégicas, fijando los objetivos señalados y desarrollando mecanismos para gestionar los
riesgos asociados. Por ejemplo, una compañía farmacéutica tiene un bajo riesgo aceptado en
relación con el valor de la marca de la fábrica. Por consiguiente, para proteger su marca,
44
mantiene extensos protocolos para otorgar seguridad al producto y con regularidad invierte
recursos significativos en investigación y desarrollo para apoyar la creación de valor de la
marca.
c. Mejorar las decisiones de respuesta a los riesgos
La gestión de riesgos corporativos proporciona rigor para identificar los riesgos y seleccionar
entre las posibles alternativas de respuestas ellos: evitar, reducir, compartir o aceptar.
d. Reducir imprevistos y pérdidas operativas
Las entidades mejoran su capacidad de identificar eventos potenciales y de establecer
respuestas, reduciendo imprevistos y los costos o pérdidas asociadas.
e. Identificar y gestionar la diversidad de riesgos para toda la entidad
Cada entidad se enfrenta a múltiples riesgos que afectan a las distintas partes de la
organización y la gestión de riesgos corporativos facilita respuestas eficaces e integradas a
los impactos interrelacionados de dichos riesgos.
f. Aprovechar las oportunidades
Considerando una amplia gama de potenciales eventos, la gerencia está en posición de
identificar y aprovechar proactivamente los eventos que representan oportunidades.
g. Mejorar el despliegue de capital
La obtención de información sólida sobre el riesgo permite a la dirección evaluar eficazmente
las necesidades globales de capital y mejorar su asignación. Estas capacidades, inherentes
en la gestión de riesgos corporativos, ayudan a la dirección a alcanzar los objetivos de
rendimiento y rentabilidad de la entidad y prevenir la pérdida de recursos.
La gestión de riesgos corporativos permite asegurar una información eficaz y el cumplimiento
de leyes y normas, además de ayudar a evitar daños a la reputación de la entidad y sus
consecuencias derivadas. En suma, la gestión de riesgos corporativos ayuda a una entidad a
llegar al destino deseado, evitando baches y sorpresas por el camino.
h. Eventos - riesgos y oportunidades
Los eventos pueden tener un impacto negativo, positivo, o de ambos tipos a la vez. Los
eventos con impacto negativo representan los riesgos, que pueden impedir la creación de
valor o erosionar el existente. Los eventos con impacto positivo pueden compensar impactos
negativos o representar oportunidades. Las oportunidades son la posibilidad de que un evento
ocurra y afecte positivamente el logro de los objetivos, ayudando a la creación de valor o su
conservación. La dirección canaliza las oportunidades que surgen, para que reviertan en la
estrategia y el proceso de definición de objetivos, y formula planes que permitan
aprovecharlas.
i. Gestión de Riesgos Corporativos
La gestión de riesgos corporativos se ocupa de los riesgos y oportunidades que afectan a la
creación de valor o su preservación. Se define de la siguiente manera: “La gestión de riesgos
corporativos es un proceso efectuado por el consejo de administración de una entidad, su

45
dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y
diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar
sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro
de los objetivos”.
Esta definición recoge los siguientes conceptos básicos de la gestión de riesgos corporativos:
 Es un proceso continuo que fluye por toda la entidad.

 Es realizado por su personal en todos los niveles de la organización.

 Se aplica en el establecimiento de la estrategia.

 Se aplica en toda la entidad, en cada nivel y unidad, e incluye adoptar una perspectiva
del riesgo a nivel conjunto de la entidad.

 Está diseñado para identificar acontecimientos potenciales que, de ocurrir, afectarían a

la entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado.

 Es capaz de proporcionar una seguridad razonable al consejo de administración y a la

dirección de una entidad.

 Está orientada al logro de objetivos dentro de unas categorías diferenciadas, aunque

susceptibles de solaparse.
La definición es amplia en sus fines y recoge los conceptos claves de la gestión de riesgos
por parte de empresas y otras organizaciones, proporcionando una base para su aplicación
en todas las organizaciones, industrias y sectores. Se centra directamente en la consecución
de los objetivos establecidos por una entidad determinada y proporciona una base para definir
la eficacia de la gestión de riesgos corporativos.
j. Es un proceso
La gestión de riesgos corporativos no es estática, sino más bien un intercambio continuo de
acciones que fluyen por toda la entidad, que se difunden y están implícitas en la forma como
la dirección lleva el negocio.
La integración de la gestión de riesgos corporativos tiene implicaciones importantes para la
contención de costos, especialmente en los mercados altamente competitivos a los que se
enfrentan muchas empresas. Al centrarse en las operaciones existentes y su aportación a la
gestión de riesgos corporativos e integrar ésta en las actividades operativas básicas, una
entidad puede evitar procedimientos y costos innecesarios.
k. Realizado por personas
La gestión de riesgos corporativos se realiza por el consejo de administración, la dirección y
demás personal de una entidad. El personal establece la misión, estrategia y objetivos de una
entidad. Por lo tanto, la gestión de riesgo empresarial afecta a las acciones de las personas,
reconociendo que no siempre se entienden, se comunican o actúan de modo consistentes.
Estos hechos afectan a la gestión de riesgos corporativos y son afectados por esta. La gestión

46
de riesgos proporciona los mecanismos necesarios para ayudar a las personas a entender el
riesgo en el contexto de los objetivos de la entidad. Las personas deben conocer sus
responsabilidades y límites de autoridad.
l. Aplicado al Establecimiento de la Estrategia
La gestión de riesgos corporativos se aplica durante el proceso del establecimiento de las
estrategias, en el que la dirección contempla los riesgos relacionados con las opciones. Una
entidad fija su misión o visión y establece los objetivos estratégicos, que son las metas de alto
nivel que están en línea con aquella y la apoyan. Para alcanzar sus objetivos estratégicos la
entidad establece una estrategia y también fija los objetivos que desea realizar y se derivan
de ella, fluyendo en cascada hacia las unidades de negocio, divisiones y procesos.
m. Aplicado en toda la entidad
La gestión de riesgos corporativos requiere que una entidad adopte una perspectiva de cartera
global para los riesgos. Esto implica que cada directivo responsable de una unidad, función,
proceso o cualquier actividad tenga que desarrollar una evaluación de sus riesgos, que se
puede efectuar de modo cuantitativo o cualitativo. Con una visión compuesta de cada nivel
sucesivo de la organización, la alta dirección está en posición de determinar si la cartera de
riesgo global de la entidad corresponde a su riesgo aceptado.
n. Riesgo Aceptado
Es el volumen de riesgo, a un nivel amplio, que una entidad está dispuesta a aceptar en su
búsqueda de valor. Refleja la filosofía de la gestión de riesgos de la entidad y por consiguiente,
influye en su cultura y estilo operativo. El riesgo aceptado se relaciona directamente con la
estrategia de una entidad y se tiene en cuenta para establecerla, ya que diferentes estrategias
exponen a una entidad a riesgos distintos. La gestión de riesgos corporativos ayuda a la
dirección a elegir una estrategia que ponga en línea la creación anticipada de valor con el
riesgo aceptado por la entidad.
o. Proporciona una Seguridad Razonable
Una gestión de riesgos corporativos bien diseñada y realizada puede facilitar a la dirección y
al consejo de administración una seguridad razonable sobre la consecución de objetivos de la
entidad. Este concepto de seguridad razonable refleja la idea de que la incertidumbre y el
riesgo están relacionados con el futuro, que nadie puede predecir con precisión, y no implica
que la gestión de riesgos corporativos fracase con mucha frecuencia
p. Consecución de objetivos
Dentro del contexto de la misión o visión establecida en una entidad, la gerencia establece
objetivos estratégicos, selecciona la estrategia y fija objetivos alineados que fluyen en cascada
en toda la entidad.
Este Marco de gestión de riesgos corporativos está orientado a alcanzar los objetivos de la
entidad, dispuesto en cuatro categorías:
 Estrategia: Objetivos a alto nivel, alineados con la misión de la entidad y dándole apoyo

 Operaciones: Objetivos vinculados al uso eficaz y eficiente de recursos

47
  Información: Objetivos de fiabilidad de la información suministrada

 Cumplimiento: Objetivos relativos al cumplimiento de leyes y normas aplicables Esta

clasificación de objetivos de la entidad, permite centrarse en aspectos diferenciados de
la gestión de riesgos corporativos.
Estas categorías distintas, pero coincidentes (un objetivo en particular puede incidir en más
de una categoría) indican que la entidad puede tener diferentes necesidades, las cuales
pueden ser responsabilidad directa de los distintos ejecutivos.
Esta clasificación permite identificar y diferenciar lo esperable de cada una de las categorías.
Otra categoría utilizada por algunas entidades es la salvaguarda de activos.
Debido a que los objetivos referentes a la fiabilidad de la información y el cumplimiento de
leyes y normas están dentro del control de la entidad, es esperable que la gestión de riesgos
corporativos facilite el aseguramiento razonable de alcanzar estos objetivos, sin embargo el
logro de objetivos estratégicos y operativos no siempre están dentro de control en la entidad,
ya que se pueden ver afectados por eventos externos; por tanto, respecto a ellos, la gestión
de riesgos corporativos puede proporcionar un aseguramiento razonable a la gerencia, y el
consejo de administración en su papel de supervisión, dar a conocer de manera oportuna, el
grado de progreso de la entidad hacia el logro de los objetivos.
3. Componentes de la Gestión de Riesgos Corporativos
La gestión de riesgos corporativos consta de ocho componentes relacionados entre sí, los
cuales se derivan de la forma en que la gerencia dirige la empresa y se integran al proceso de
gestión.
A continuación, se describen estos componentes:
a. Ambiente Interno
Es la base fundamental de todos los demás componentes, dando disciplina y estructura. Este
abarca el diseño de la organización, influencia la conciencia de sus empleados con respecto
al riego y fija la base de cómo es visto el riesgo y tratado por la gente de una entidad,
incluyendo riesgos de gestión filosófica, su riesgo aceptado, la supervisión ejercida por el
consejo de administración, la integridad, valores éticos y competencia de su personal, la forma
en que la gerencia asigna la autoridad, la responsabilidad y como ésta organiza a sus
empleados. Incide en el modo en que la estrategia y objetivos son establecidos, las actividades
de negocio son estructuradas y los riesgos son identificados, evaluados y gerenciados.
b. Filosofía de Gestión de Riesgos
Representa el conjunto de creencias y actitudes compartidas que caracterizan cómo la entidad
considera el riesgo en todas las actividades, desde el desarrollo e implementación de la
estrategia hasta sus actividades cotidianas. Refleja los valores de la entidad, influenciando su
cultura y estilo de operar, además de afectar cómo se aplican los componentes de dicha
gestión, incluyendo como son identificados los eventos, los tipos de riesgos aceptados, y como
son gestionados.

48
Cuando la filosofía de gestión de riesgos está bien desarrollada, entendida y aceptada por el
personal, la entidad se encuentra en posición de reconocer y gestionar los riesgos
eficazmente. De esta forma cuando la filosofía de la entidad esté muy desarrollada, pueden
existir diferencias culturales entre las unidades, lo que provocará una variación en la aplicación
de dicha gestión.
Si bien algunos directivos están preparados para asumir un mayor riesgo, existen otros que
son más conservadores. La filosofía se potencia cuando los directores ponen énfasis en las
políticas escritas, normas de conducta, indicadores de rendimiento, así como si optan por
actuar más informalmente mediante contactos personales con los directivos claves, esto es,
no sólo con palabras, sino que con el diario actuar.
c. Apetito del Riesgo (Riesgo Aceptado)
El apetito del riesgo es la cantidad de riesgo, a nivel global, que la administración y el directorio
están dispuestos a aceptar en su búsqueda de valor. Refleja la filosofía de la administración
de riesgo de la entidad e influencia la cultura y estilo de operación.
El apetito del riesgo debe considerarse al momento de la definición de la estrategia, alineando
la estrategia con el apetito al riesgo.
 Permite el alineamiento de la organización, las personas, procesos e infraestructura.

 Puede expresarse como el balance aceptable entre las metas de crecimiento y entorno
con los riesgos o como la medida de riesgo ajustado al valor agregado del accionista.

 Puede expresarse en términos cuantitativos o cualitativos.

 Entidades sin fines de lucro, expresan su apetito al riesgo como el nivel de riesgo que
pueden aceptar entregando valor a sus “stakeholders”.

 ¿Qué riesgos son aceptados y cuales no en los negocios de la entidad?

 ¿Está nuestra entidad conforme con la cantidad de riesgo aceptado para cada uno de
los negocios?

 ¿Está nuestra entidad preparada para aceptar una mayor cantidad de riesgo y que nivel
de retorno requerir?

 ¿Hasta qué punto nuestra entidad podría aceptar un mayor riesgo de la disminución de
las utilidades marginales brutas para alcanzar una mayor participación de mercado?

d. Integridad y Valores Éticos

 Influyen en la definición de objetivos, estrategias y como estas se llevan a cabo.

 Están reflejados en los estándares de comportamiento de una entidad.

49
 La estrategia y los objetivos de una organización y la forma en que se implementan se
basan en juicios, preferencias y estilos. La integridad y el compromiso con los valores
éticos influencian esas preferencias y los juicios.

 Los valores éticos deben ser comunicados y acompañados de guías explicitas

detallando lo que está bien y lo que está mal.

 Deben comunicarse con las acciones y ejemplos de la administración

 Se comunican a través de un Código formal de conducta:

 Carta del Centro de Educación Ocupacional (CEO)

 Objetivos y filosofía
 Conflictos de interés
 Regalos
 Transparencia
 Recursos corporativos
 Responsabilidad social
 Otros elementos relacionados.

50
 e. Supervisión de la Alta Dirección

 Es un elemento crítico del ambiente interno e influye de modo significativo en sus

elementos.

 Debe ser activa e implicada en el negocio.

 Debe estar preparada para cuestionar e investigar sobre las actividades de la

administración, presentar sus puntos de vista y actuar frente a problemas existentes.

 La mayoría de los integrantes de la junta directiva deben ser directores externos

independientes.

 Debe proveer supervisión y facilitar la gestión del riesgo corporativo.

f. Competencias
Las competencias reflejan el conocimiento, las habilidades y destrezas necesarias para
realizar las tareas asignadas. Existen competencias organizacionales, gerenciales,
funcionales y técnicas. Es deber de la administración alinear las competencias con el costo.
g. Estructura Organizacional
La estructura organizacional define áreas claves de responsabilidad y toma de decisiones.
Establece además líneas de comunicación y se desarrolla de acuerdo con el tamaño y
naturaleza del negocio.
h. Asignación de autoridad y Responsabilidad
Considera los límites de autoridad de las personas e implica el grado en el cual los individuos
y equipos se animan y están autorizados para desarrollar acciones y solucionar problemas.
 Establece relaciones de comunicación y protocolos de autorización.

 Los individuos conocen sus acciones y que su correlación con otras contribuye al logro
de objetivos.

i. Políticas de Recursos Humanos

Incluyen las prácticas utilizadas para contratar, orientar, entrenar, evaluar, asesorar,
promover, remunerar y las acciones correctivas para alcanzar los niveles deseados de
integridad, comportamiento ético y competencia. Las acciones disciplinarias indican que las
violaciones al comportamiento esperado no serán toleradas.
4. Establecimiento de Objetivos
La selección de objetivos es la condición previa para la identificación de eventos, evaluación
de riesgos y la respuesta a ellos. Los objetivos deben existir antes de que la gerencia pueda
identificar los eventos potenciales que afectan su logro. La gestión del riesgo de la empresa

51
se asegura de que la gerencia tenga un lugar en el proceso para fijar objetivos y de que estos
apoyen y se alineen con la misión de la entidad y sean acordes con su apetito de riesgo. Cada
nivel de objetivos se relaciona con objetivos más específicos bajo un esquema de cascada.
a. Objetivos Estratégicos
La misión de una entidad establece en amplios términos lo que se aspira a alcanzar. Es
importante que la dirección con la ayuda del consejo establezca expresamente la razón de ser
de la entidad. A partir de esto, la dirección fija los objetivos estratégicos, formula la estrategia
y establece los correspondientes objetivos operativos, de información y de cumplimiento para
la organización.
Los objetivos estratégicos son de alto nivel, están alineados con la misión y visión de la entidad
y le dan su apoyo. Reflejan la opción que ha elegido la dirección en cuanto a cómo la entidad
creará valor para sus grupos de interés.
b. Objetivos Relacionados
Al enfocar primero los objetivos estratégicos y la estrategia, una entidad está en posición de
desarrollar los objetivos estratégicos y la estrategia, una entidad está en posición de
desarrollar los objetivos globales, los objetivos al nivel de la empresa que se integran en
objetivos específicos y estos a su vez repercuten en subobjetivos. Al fijar sus objetivos a los
niveles de entidad y actividades, la organización puede identificar los factores críticos de éxito,
que han de funcionar bien si se quieren alcanzar los objetivos.
Cuando los objetivos guardan conformidad con las prácticas y rendimientos, se conoce la
conexión entre actividades. Los objetivos deben ser fácilmente entendibles y mensurables. La
gestión de riesgos corporativos exige que el personal a todos los niveles tenga un
entendimiento necesario de los objetivos de la entidad, en cuanto se relacionan con el ámbito
del individuo. Todos los individuos deben tener una comprensión mutua de lo que se ha de
lograr y de los medios para medir lo que se consiga. Categorías de objetivos relacionados
c. Objetivos operativos
Se refieren a la eficacia y eficiencia de las operaciones de la entidad e incluyen otros
subobjetivos orientados a mejorar ambas características mediante la movilización de la
empresa hacia sus metas finales.
Los objetivos operativos deben reflejar los entornos empresarial, sectorial y económico en los
que actúa la entidad. Un conjunto claro de objetivos operativos, vinculados a subjetivos, es
esencial para el éxito. Los objetivos operativos proporcionan un punto de focalización para
orientar la asignación de recursos.
d. Objetivos de información
Se refieren a la fiabilidad de la información. Incluyen la información interna y externa e implican
la financiera y no financiera. Una información fiable proporciona a la dirección datos seguros
y completos, adecuados para la finalidad pretendida, y le presta apoyo en su toma de
decisiones y en el seguimiento de las actividades y rendimiento de la entidad.
La información también está relacionada con los documentos preparados para su difusión
externa, como es el caso de los estados financieros y sus notas de detalle, los comentarios y
análisis de la dirección y los informes presentados a entidades reguladoras.
52
 e. Objetivos de cumplimiento
Se refieren al cumplimiento de leyes y normas relevantes. Dependen de factores externos y
tienden a ser similares entre entidades, en algunos casos, y sectorialmente, entre otros.
Las entidades deben llevar a cabo sus actividades y a menudo acciones concretas de acuerdo
con las leyes y normas relevantes. Las leyes y normas aplicables establecen pautas mínimas
de conducta, que la entidad integra en sus objetivos de cumplimiento.
El historial de cumplimiento de una entidad puede afectar positiva o negativamente a su
reputación en la comunidad y el mercado.
f. Consecución de Objetivos
Una gestión eficaz de riesgos corporativos proporciona seguridad razonable de que los
objetivos de información de una entidad se están cumpliendo. De forma similar también
debería existir seguridad razonable de que los objetivos de cumplimiento se están alcanzando.
La consecución de ambos objetivos está ampliamente bajo el control de la entidad. O sea, una
vez definidos los objetivos, la entidad tiene el control sobre su capacidad de hacer lo que haga
falta para lograrlos.
En cuanto a los objetivos estratégicos y operativos, la gestión de riesgos corporativos puede
proporcionar seguridad razonable de que la dirección y el consejo en su papel de supervisión,
estén informados oportunamente del progreso de la entidad en su camino hacia el logro de
dichos objetivos.
g. Tolerancia al riesgo
Son los niveles aceptables de desviación relativa a la consecución de objetivos. Pueden
medirse y a menudo resulta mejor, con las mismas unidades que los objetivos
correspondientes. Las medidas de rendimiento se usan para ayudar a asegurar que los
resultados reales se ciñen a las tolerancias al riesgo establecidas.
Al fijar las tolerancias al riesgo, la dirección tiene en cuenta la importancia relativa de los
objetivos correspondientes y alinea aquellas con el riesgo aceptado. Operar dentro de las
tolerancias al riesgo proporciona a la dirección una mayor confianza en que la entidad
permanece dentro del riesgo aceptado, y a su vez proporciona una seguridad más elevada de
que la entidad alcanzará sus objetivos.
5. Identificación de eventos

a. Eventos

 Un evento es un incidente que emana de fuentes internas o externas. Dichos eventos

son riesgos u oportunidades.

 Los eventos abarcan desde lo evidente a lo desconocido y sus efectos, desde lo

inconsecuente a lo muy significativo.

 La gerencia debe identificar potenciales eventos que afectan la implantación de la

estrategia y el logro de sus objetivos, con impacto positivo, negativo o ambos.

53
 Los eventos con un impacto negativo representan riesgos, los cuales necesitan ser
evaluados y administrados.

 Los eventos con un impacto positivo representan oportunidades, las cuales son
recanalizadas por la Gerencia al proceso de establecimiento de estrategias y objetivos.

 El ejercicio de identificación de eventos se realiza considerando a toda la organización,

su contexto y la tolerancia al riesgo de ésta.

 La gerencia debe reconocer la importancia de comprender dichos factores y el tipo de

eventos que pueden estar asociados a los mismos.

b. Factores influyentes Los eventos provienen tanto de fuentes internas como externas

54
55
 6. Técnicas de identificación de eventos

a. Inventario de eventos:
Es un listado de eventos potenciales comunes para la organización dentro de una industria
particular, procesos particulares o actividades comunes.
b. Workshops:
Son talleres facilitados de identificación de eventos en que se reúnen típicamente a individuos
cros-funcionales y/o de varios niveles de la organización con el fin de utilizar el conocimiento
colectivo del grupo y desarrollar una lista de eventos, relacionándolos con los objetivos. Los
resultados de los talleres dependen generalmente de la cantidad y profundidad de la
información que los participantes traen.
c. Análisis de flujo de procesos:
Involucra la representatividad gráfica de un proceso, con el objetivo de tener un mejor
entendimiento de la interrelación de las entradas, tareas, resultados y responsabilidades. Una
vez mapeado, los eventos pueden ser identificados pensando en los objetivos que deben ser
alcanzados con tal proceso.

56
 d. Indicadores de riesgo e indicadores de excepción:
También son conocidos como Key Risk Indicators o Leading Risk Indicators. Son medidas
cualitativas o cuantitativas que proveen información sobre eventos potenciales, como precio
del petróleo, rotaciones de cuentas por cobrar, tráfico en un sitio de Internet, etc.
Los Indicadores de Excepción arrojan una alerta cuando sobrepasan un umbral
preestablecido.
 Otras técnicas

 Entrevistas

 Encuestas y cuestionarios

7. Evaluación de riesgos
La evaluación de riesgo constituye una continua y repetitiva interacción de acciones que tienen
lugar a través de la entidad y permite a la entidad entender el grado en cual pueden afectar
los eventos de riesgo a los objetivos.
El impacto y consecuencias de los factores internos y externos que afectan a una empresa
son únicos en cada una, ya que, depende de los objetivos y decisiones de esta, es por ello
por lo que la gestión de riesgo se mueve dentro del contexto del perfil de riesgo de la entidad,
dado por dimensión, complejidad de operaciones, regulación de actividades entre otras.
La empresa evalúa los riesgos esperados e inesperados, estos últimos se refiere a aquellos
que no son rutinarios y no recurrentes y por lo tanto se encuentran fuera de programas como
gestión y presupuesto.
Los riesgos se evalúan con un doble enfoque, el riesgo inherente, que es aquel al que se
enfrenta una entidad cuando no existen acciones por parte de la dirección para determinar su
probabilidad e impacto y el riesgo residual que es aquel, que permanece una vez que la
dirección desarrolla respuesta a los riesgos.
La incertidumbre de que un evento ocurra se evalúa desde dos perspectivas, probabilidad que
representa la posibilidad que el evento ocurra e impacto que refleja su efecto.
Con esta estimación de impacto y probabilidad se determina la importancia y atención que se
presta a determinado evento, pero esto requiere de una tarea difícil por lo tanto el análisis
debe ser racional y cuidadoso. Para determinar las estimaciones de probabilidad e impacto se
usan datos de eventos anteriores, estos datos pueden ser en primer lugar observados en el
interior de la entidad, proporcionando así un base menos subjetivo, no obstante, los datos
externos también resultan útiles como medio de comparación; además estos datos empíricos
ayudan a minimizar el riesgo inherente producido por el exceso de confianza mostrado por las
personas que toman decisiones de incertidumbre sobre bases subjetivas. La empresa debe
utilizar el mismo horizonte temporal y las mismas unidades de medida que usa para establecer
la consecución de un objetivo como evaluar los potenciales riesgos que podrían afectar la
consecución de estos objetivos.
La teoría de la prospectiva nos dice que las personas no quieren arriesgar lo que ya tienen o
creen tener, pero toleran más el riesgo cuando creen que pueden minimizar los riesgos; de

57
esta manera la dirección puede estructurar la información para reforzar el riesgo aceptado y
el comportamiento hacia el riesgo en toda la entidad.
a. Técnicas de evaluación
Una entidad no necesita usar las mismas técnicas en todas sus unidades de negocio, pero la
selección de técnicas debe reflejar la necesidad de precisión y la cultura de cada entidad.
Las técnicas de evaluación son una combinación entre técnicas cualitativas y cuantitativas,
las cualitativas se utilizan generalmente cuando los riesgos no se pueden cuantificar ya sea
porque los datos son insuficientes o creíbles y su obtención no resulta eficaz por su costo. Las
técnicas cuantitativas aportan más precisión y son utilizadas en actividades más complejas;
estas técnicas requieren mayor esfuerzo y generalmente utilizan modelos matemáticos, y
resulta más relevante para riegos con historial y frecuencia de variabilidad conocidos.
Cuando una entidad tiene eventos potenciales que se relacionan entre si o tienen algún grado
de interacción es importante que se evalúen en conjunto, ya que, uno de ellos por si solo
puede que no entregue un grado alto de riesgo, pero si lo hará al combinarse con otros eventos
con los que interactúe. Es así como la entidad puede agrupar en categorías comunes los
eventos que afecten a múltiples unidades del negocio, para así evaluarlos por unidad y luego
en toda la entidad. La naturaleza de los eventos y el hecho de que estén relacionados o no
pueden afectar las técnicas de evaluación utilizadas.
8. Respuesta al riesgo
Una vez que han sido evaluados los riesgos la alta dirección debe determinar cómo responder
a ellos, es así como algunas respuestas serán evidentes y otros requerirán de un análisis e
investigación. Dicho análisis de respuestas es realizado con el fin de alinear el riesgo residual
con la tolerancia de la entidad.
Algunas de las categorías donde se pueden incluir las respuestas al riesgo son:
 Evitar: se plantea tomar acciones de modo de discontinuar las actividades que generan
riesgo. Cuando esta respuesta es entregada significa que la entidad no encontró
ninguna otra opción que redujera el impacto y probabilidad a un nivel aceptable.

 Reducir: plantea tomar acciones de modo de reducir el impacto, la probabilidad de

ocurrencia o ambos. Esta respuesta reduce el riesgo residual a un nivel de tolerancia
de riesgo deseado.

 Compartir: plantea tomar acciones de modo de reducir el impacto o la probabilidad de

ocurrencia al transferir o compartir una porción del riesgo. Esta respuesta también lleva
el riesgo residual a un nivel de tolerancia de riesgo deseado.

 Aceptar: plantea no realizar ninguna gestión para evitar o reducir el riesgo, lo que está
dado porque el riesgo se encuentra dentro del nivel de tolerancia deseado.
En resumen, al determinar las respuestas al riesgo la entidad debe considerar factores como
los efectos que producen sobre probabilidad e impacto y la forma de alinearse con la tolerancia
al riesgo establecido por ella; los costos y beneficios de las respuestas, evaluando los costos
directos, indirectos y también los de oportunidad, el beneficio tiene una evaluación más

58
subjetiva y muchas veces se hace en relación a la consecución de objetivos y finalmente
dentro de los factores se encuentran las oportunidades de alcanzar los objetivos de la entidad,
las cuales surgen al existir opciones de respuestas a los riesgos que están alcanzando los
límites de eficacia y cuando ciertas actualizaciones probablemente sólo faciliten cambios
marginales en el impacto y probabilidad del riesgo.
Luego de evaluar las posibles respuestas, la entidad puede seleccionar una respuesta o una
combinación de ellas, debiendo estar éstas dentro del nivel de tolerancia al riesgo establecido
por la entidad. Al respecto cabe mencionar que ocasionalmente sucede que las respuestas
sobrepasan los límites, debiendo la entidad, en tales casos evaluar la selección realizada o el
nivel tolerancia, lo que se puede traducir en un proceso repetitivo al intentar encontrar el
equilibrio entre la tolerancia y la respuesta. Una vez que la entidad ha seleccionado una
respuesta, debe desarrollar un plan para ejecutarla y establecer acciones de control para
asegurar que esta se lleva a cabo.
a. Perspectiva de cartera de riesgos
La gestión de riesgos corporativos propone que el riesgo sea considerado desde la
perspectiva de la entidad en su conjunto o desde la perspectiva de la cartera de riesgos. Es
Así como las entidades normalmente evalúan sus riesgos residuales y su tolerancia al riesgo
en cada unidad de negocio y posteriormente la alta dirección es la encargada de realizar una
perspectiva de cartera y determinar si el riesgo residual está alineado con el riesgo global
aceptado en función de sus objetivos.
En este análisis la entidad se puede encontrar básicamente con dos situaciones, una en la
cual ninguna unidad sobrepasa su propia tolerancia, pero en conjunto superan el riesgo global
aceptado por la entidad, en este caso harán falta respuestas adicionales o diferentes para que
el riesgo este dentro del nivel aceptado; la segunda situación es que en alguna unidad el riesgo
supere la tolerancia de ésta, pero en conjunto con otras unidades adversas a él lleven al riesgo
a un nivel aceptado, evitando así una respuesta diferente a los riesgos.
Al respecto cabe destacar que la perspectiva de carteras de riesgo se puede alcanzar
centrándose en los principales riesgos o categorías de riesgo de la entidad o de unidades de
ella, usando métricas que son útiles para medir el riesgo frente a objetivos establecidos en
términos de resultado, crecimiento u otras. Cuando la entidad observa el riesgo desde una
perspectiva de cartera puede considerar si permanecerá dentro del riesgo aceptado
establecido, además de poder evaluar nuevamente la naturaleza y el tipo de riesgo que desea
asumir.
9. Actividades de control
Las actividades de control son aquellas políticas y procedimientos que ayudan a asegurar que
las respuestas establecidas por la dirección frente a los riesgos se lleven a cabo de manera
adecuada y oportuna. Los procedimientos son las acciones de las personas para implantar
políticas ya sea directamente o a través de tecnología, es decir, una política establece la forma
como se debe realizar y un procedimiento establece la manera de llevarse a cabo. Las políticas
pueden ser escritas o no, dependiendo su eficacia de las características de la misma, así como
de la entidad, ahora bien en cualquier caso la política debe ser meditada, consciente y
consecuente.

59
Los procedimientos deben estar basados en un enfoque claro y continuo, debiendo además
investigarse las condiciones identificadas como resultado de este y adoptar las acciones
correctivas necesarias.
Las actividades de control pueden ser clasificadas según la naturaleza de los objetivos de la
entidad con la que están relacionadas, es así como algunas actividades corresponden sólo a
una categoría, lo que hace que generalmente se solapen, es decir, una actividad pueda ayudar
a cumplir los objetivos de la entidad en más de una categoría.
Luego de seleccionar la respuesta al riesgo la entidad debe realizar la elección de la actividad
de control correspondiente, considerando la relación con otras actividades, debido a que
muchas veces se hace necesario tener más de una actividad de control para una misma
respuesta al riesgo.
En la selección de las actividades de control también se hace necesario considerar su
relevancia y adecuación en la respuesta al riesgo y los objetivos relacionados, ya que, una
actividad de control no sólo sirve para gestionar la respuesta, sino también por si misma puede
ser la respuesta a un riesgo, por tanto, las actividades de control también sirven como
mecanismo directo para gestionar la consecución de objetivos.
a. Tipos de actividades de control
Dentro de las actividades de control encontramos controles de prevención, detección,
manuales, informáticos y de dirección, además las actividades de control pueden clasificarse
según objetivos específicos de control. Algunas actividades de control normalmente utilizadas
son:
 Revisiones a alto nivel: la alta dirección se encarga de revisar los datos reales de
funcionamiento en función de los presupuestos, previsiones y datos de periodo previos,
además de realizar un seguimiento de las iniciativas importantes.

 Gestión directa de funciones o actividades: los directivos que gestionan las

funciones o actividades revisan los informes de rendimiento.

 Procesamiento de la información: se realiza una variedad de controles para verificar

la exactitud, integridad y autorización de las transacciones, controlándose también el
desarrollo de nuevos sistemas y modificaciones en los existentes.

 Controles físicos: las existencias, equipos y valores se someten a recuentos

periódicos y se cotejan con los registros de control.

 Indicadores de rendimiento: el contraste de diferentes conjuntos de datos, operativos

o financieros, junto con el análisis de relaciones y las acciones de investigación y
corrección.

 Segregación de funciones: las funciones se dividen en diferentes personas para

reducir el riesgo de error o fraude.

b. Controles sobre los sistemas de información

60
Los controles sobre los sistemas de información ayudan a alcanzar los objetivos de
información y cumplimiento. Dentro de las actividades de control encontramos dos tipos de
controles sobre los sistemas de información, ambos combinados con los controles manuales
en el caso que sea necesario, que aseguran la integridad, exactitud y validez de la información.
Los tipos de controles sobre los sistemas de información son:
 Controles Generales Se aplica a todos los sistemas ayudando a asegurar que los
sistemas funcionan en forma continua y adecuada. Dentro de los controles más
comunes se encuentran:

 Gestión de la tecnología de la información: un comité entrega supervisión,

seguimiento e información de las actividades de tecnología de información.

 Infraestructura de la tecnología de la información: los controles se aplican a la

definición, instalación, configuración, integración y mantenimiento de los sistemas.

 Gestión de seguridad: son controles de acceso lógico a bases de datos, acceso de

red, cuentas de usuario, entre otros.

 Adquisición, desarrollo y mantenimiento del Software: los controles sobre la

adquisición e implantación del Software se incorporan a un proceso establecido para
gestionar el cambio, dichos controles incluyen la autorización de solicitudes de
modificación, revisión de cambios, aprobaciones, documentación, implicaciones de los
cambios para otros componentes de la tecnología de la información, resultados de las
pruebas de carga y protocolos de implantación.

c. Controles de Aplicación
Se centran directamente en la integridad, exactitud, autorización y validez de la captación y
procesamiento de datos, por esto uno de sus objetivos más relevante es prevenir que los
errores se introduzcan en el sistema, además de detectarlos y corregirlos. Algunos de los
controles de aplicación son:
 equilibrar las actividades de control: detectar errores en la captación de datos
mediante una conciliación entre lo ingresado y un total de control.

 dígitos de control: validar datos mediante cálculo.

 listado predefinido de datos: proporcionan al usuario listas preestablecidas de datos

aceptables.

 pruebas de razonabilidad de datos: comparación de captación de datos con una

pauta preexistente.

 pruebas lógicas: uso de límite de rango o pruebas de valor

61
 10. Información y Comunicación

a. Información Es una herramienta vital dentro de cualquier organización donde además

de ayudar a dirigir la entidad y sus objetivos, es necesaria para identificar, evaluar y
responder a los riesgos y permanecer dentro de las tolerancias a él.

Esta puede provenir de fuentes tanto externas como internas, ser presentada de forma
cuantitativa o cualitativa.
La dirección debe buscar la manera de, procesar y depurar los grandes volúmenes de datos,
para ello utiliza sistemas de información que le ayudan a buscar, captar, procesar, analizar y
comunicar la información; si bien en esencia estos sistemas se abordan con datos internos,
es importante que también lo hagan de manera externa. Estos sistemas de información
pueden ser formales o informales.
La oportunidad del flujo de información debe ser coherente con las necesidades de la entidad
y con los cambios del sector, los sistemas van cambiando según estas mismas condiciones,
es por ello por lo que estos deben identificar y captar la información tanto financiera como no
financiera y procesarla y comunicarla en un marco de tiempo y una forma útiles para las
actividades de la entidad.
La información es necesaria en todos los niveles de la organización para identificar, evaluar y
dar una respuesta al riesgo. Para esto se debe identificar, capturar y comunicar la información
pertinente en tiempo y forma que permita a los miembros de la organización cumplir con sus
responsabilidades.
La información relevante debe ser obtenida de fuentes internas y externas.
La comunicación se debe realizar en sentido amplio, y fluir por la organización en todos los
sentidos (ascendente, descendente, paralelo). Asimismo, debe existir una comunicación
adecuada con partes externas a la organización (clientes, proveedores, reguladores y
accionistas).
a. Sistemas integrados y estratégicos
En las actualidades las distintas entidades se comunican, integran y por ende se produce una
colaboración mayor en términos de información, aquí la responsabilidad de la información es
de todas las entidades integradas, por ello los sistemas de información deben ser flexibles y
ágiles.
La arquitectura y la tecnología implementada en un sistema de información dependen de
muchos factores como los objetivos organizativos, necesidades de mercado y exigencias
competitivas, por otro lado, el objetivo de apoyar a la entidad que tiene un sistema de
información se ve muchas veces mermado debido a que las necesidades del negocio cambian
y la tecnología crea nuevas oportunidades. En el desarrollo de la arquitectura de la información
se deben tener presente los requerimientos de la información de los usuarios y departamentos
y la información de resumen necesaria para los distintos niveles de dirección.
b. Integración con las operaciones
Los sistemas de información normalmente se encuentran integrados con las operaciones de
la entidad, esto facilita el acceso a información previamente enmarcada en sitios funcionales,

62
donde las transacciones se registran y siguen en tiempo real, haciéndola disponible para la
dirección de manera más eficaz para controlar las actividades del negocio. La información que
utiliza la entidad proviene tanto de datos históricos como actuales. Los datos históricos
permiten seguir el desempeño real respecto de planes, objetivos y expectativas; además
proveen información respecto del rendimiento bajo condiciones pasadas, permitiendo
identificar tendencias, correlaciones y prever funcionamientos futuros y eventos donde la
entidad debe poner atención. Los datos actuales por su parte permiten a la empresa
determinar si están dentro de la tolerancia al riesgo establecidas y tener una perspectiva en
tiempo real de los riesgos existentes en un proceso e identificar variaciones frente a las
expectativas. Es importante tener en cuenta los riesgos de seguridad y fraude asociados a la
dependencia de los sistemas de información a niveles estratégico y operativo.
Los avances tecnológicos han permitido obtener un gran volumen de datos, por lo que hoy se
hace indispensable evitar la sobrecarga de información, asegurando el flujo de la información
adecuada, de la manera correcta, al nivel detallado necesario y a las personas y en el
momento adecuado, esto se denomina calidad de la información.
Para propulsar esto las entidades han establecido programas corporativos que abarcan la
adquisición, mantención y distribución de la información pertinente; los conflictos a los que se
enfrenta la calidad de la información pueden ser variados pasando desde necesidades
funcionales hasta procesos no integrados, es por ello por lo que la dirección establece planes
estratégicos con claras responsabilidades sobre la integridad de los datos y realiza
regularmente evaluaciones de su calidad.
Debemos considerar que unos datos inexactos pueden resultar en riegos no identificados o
pobres evaluaciones y por ende malas decisiones de gestión.
Para determinar la calidad de la información debemos tener en cuenta ciertos criterios:
 su contenido es el adecuado

 es oportuna

 esta actualizada

 es exacta

 está accesible

c. Comunicación
La comunicación es inherente al sistema y es importante para que los usuarios de la
información puedan llevar a cabo sus responsabilidades. La comunicación puede tomar
diferentes formas, desde manual de políticas, mensajes verbales hasta mensajes en la Web
y de video, pero más allá de la manera los directivos deben tener presente que sus acciones
hablan más que cualquier cosa y que una entidad con un historial de integridad operativa y
cuya cultura está bien asumida por las personas de la organización, probablemente no tengan
mayores problemas para comunicar el mensaje.
d. Comunicación interna

63
La dirección proporciona una comunicación específica y clara de la filosofía y enfoque de la
gestión de riesgo corporativo. Esta comunicación es orientada y se dirige a las expectativas
de comportamiento y responsabilidades del personal, aquí cabe resaltar que el personal debe
tener claro que es lo que está permitido y lo que no. Es importante que la información de
procedimientos y procesos sean acorde con la cultura deseada por la entidad. Estos mensajes
importantes pueden potenciarse con un código de conducta integral, sesiones de formación
del personal, mecanismos de comunicación y retroalimentación y un ejemplo adecuado de la
alta dirección.
El personal con importante responsabilidad debe recibir mensajes claros y eficaces por parte
de la alta dirección. También es importante que el personal sepa cómo se relaciona su trabajo
con el de los demás, porque así se puede reconocer un problema y determinar de mejor
manera su causa y la acción que se tomará frente a este.
Los canales de comunicación deben asegurar que el personal pueda comunicar la información
basada en el riesgo a todas las unidades del negocio, procesos o funciones, además de
enviarla a sus superiores, todo esto es importante porque existen situaciones en las cuales el
personal pueda no tener las herramientas necesarias para hacerlo o bien no está dispuesto a
entregar la información. Esto último muchas ocurren cuando la disposición a escuchar no es
clara, trasmitiendo así al mensajero una señal de poco interés de conocer y tratar eficazmente
el problema, además de tener una reacción poco amistosa frente a la persona que trasmite el
conflicto, finalmente todo esto concluye en un cierre del canal de comunicación donde el
directivo es el último en enterarse.
Si bien en general las líneas normales de información son los canales de adecuados de
comunicación, en la actualidad cada vez se hace más fuerte el tener canales independientes
de comunicación como mecanismo de seguridad en caso de que las líneas normales no
funcione, esto se basa en que el personal sepa de un canal directo con un alto directivo que
tenga acceso el consejo de administración; una gestión eficaz de riesgo corporativo requiere
de este canal alternativo.
Unos de los canales más críticos de comunicación esta entre la alta dirección y el consejo de
administración, la dirección debe mantener al día al consejo sobre todos los aspectos y
situaciones importantes de la entidad, de esta manera el consejo podrá de manera eficaz llevar
a cabo sus responsabilidades de supervisión; a su vez el consejo debe informar al consejo
sus necesidades de información y proporcionarle retroalimentación y guía.
e. Comunicación externa
Debe existir una comunicación adecuada tanto dentro de la entidad como fuera de ella, ya
que, los canales de comunicación externos abiertos, los clientes y proveedores pueden
proporcionar inputs muy significativos sobre el diseño o la calidad de los productos o servicios,
permitiendo a la empresa tratar las demandas o preferencias del cliente en evolución.
La comunicación con grupos de interés, reguladores, analistas financieros y otros terceros les
proporciona información relevante para sus necesidades, pues pueden comprender
rápidamente las circunstancias y riesgos a los que se enfrenta la entidad.
11. Supervisión
La gestión de riesgos corporativos de una entidad cambia con el tiempo, por lo tanto, las
respuestas a los riesgos, las actividades de control pueden resultar menos eficaces, además
64
los objetivos de la entidad también pueden cambiar. Todos estos cambios pueden ser
motivados por hechos tales como el ingreso de nuevo personal, de nuevos productos, cambios
en la estructura de la entidad.
La supervisión puede realizarse mediante dos formas:
a. Actividades permanentes
La supervisión permanente está integrada en las actividades operativas normales y
recurrentes de la entidad, esta integración hace que sea más eficaz que las evaluaciones
independientes; se lleva a cabo en tiempo real, reacciona de manera dinámica a las
condiciones cambiantes.
Los directivos de línea o función de apoyo son los que llevan a cabo las actividades de
supervisión y dan mediata consideración a las implicaciones de la información que reciben,
determinando junto con otro personal si es necesario una acción correctiva o de otro tipo.
Las actividades de supervisión se distinguen de las actividades de funcionamiento según lo
requiera la política de procesos de negocio.
b. Evaluaciones independientes
La frecuencia de estas evaluaciones es a mero criterio de la dirección, basada en factores
como la naturaleza y alcance de los cambios producidos y sus riesgos correspondientes, la
competencia y experiencia del personal que está a cargo de implantar la repuesta al riesgo y
los resultados de la supervisión permanente, este último factor debido a que los mecanismos
para gestionar el riesgo generalmente están hechos para que puedan auto controlarse hasta
cierto punto, por esto, cuanto mayor alcance y eficacia tienen estas actividades , menor es la
necesidad de elaborar evaluaciones independientes.
Las evaluaciones son hechas después de ocurridos los eventos, usando las pautas de
supervisión permanentes para identificar más rápidamente los problemas.
El alcance y frecuencia de las evaluaciones varían según la significatividad de los riesgos y la
importancia de las respuestas a ellos. La gestión de riesgos en su totalidad se evalúa menos
a menudo que partes concretas de la entidad. Cuando se decide evaluar integralmente la
gestión de riesgos corporativos, hay que dirigir la atención hacia su aplicación en el
establecimiento de la estrategia, así como en las actividades significativas de la entidad.
Los responsables de una determinada unidad o función son los que evalúan sus propias
actividades, de esta manera se evalúa la gestión de riesgo de forma ascendente, llevando los
temas más importantes a la alta dirección y al consejo de administración.
Los auditores internos realizan evaluaciones como parte de sus funciones normales o a
petición de la alta dirección, esto no implica que la dirección pueda utilizar la información de
auditores externos para considerar la eficacia de la gestión de riesgo.
c. Proceso de Evaluación
La evaluación de la gestión de riesgos constituye un proceso en sí mismo y hay que aportar
una disciplina al proceso.
Quién evalué debe entender cada actividad y componente de la gestión de riesgo a abordar y
determinar cómo funciona el sistema en realidad. Para determinar este funcionamiento real se
65
puede mantener entrevistas con el personal operativo o aquel que resulta afectado por la
gestión de riesgo.
El evaluador analiza el diseño del proceso de gestión de riesgos corporativos y los resultados
de las pruebas realizadas, todo esto contrastado con el funcionamiento de trasfondo de
normas establecidas por la dirección para cada componente, con el objetivo de determinar si
el proceso proporciona seguridad razonable respecto a los objetivos fijados.
La metodología del proceso de evaluación es muy variada, como por ejemplo listas de
comprobación, cuestionarios, cuadros de mando y técnicas de diagramas de flujo. Otro
método es el de la comparación, esta se realiza con otras empresas que tengan una buena
reputación en el sector, este método debe ser bajo las restricciones propias que entregan las
propias diferencias entre las empresas, como son los objetivos, hechos y circunstancias.
El alcance de la documentación sobre gestión de riesgos corporativos de una entidad varía
según la dimensión, complejidad y factores similares de esta. El hecho que los componentes
de la gestión de riesgos corporativos no estén documentados no significa que no sean eficaces
o que no puedan evaluarse, pero un buen nivel de documentación generalmente hace que las
evaluaciones sean más eficaces y eficientes.
El evaluador puede decidir documentar el proceso de evaluación en si mismo, partiendo de la
documentación ya existente en la gestión de riesgos corporativos de la entidad,
complementando este proceso con información adicional, junto con descripciones de pruebas
y los análisis efectuados durante la evaluación.
d. Información de deficiencias
Una deficiencia es una situación dentro de la gestión de riesgos corporativos que merece
atención y que puede representar una debilidad percibida, potencial o real o una oportunidad
para fortalecer la gestión de riesgo y aumentar la probabilidad de que se logren los objetivos
de la entidad. Las deficiencias se informan a través de la misma gestión de riesgos.
Las actividades de supervisión permanentes entregan ideas en tiempo real y proporcionan
una rápida identificación de deficiencias. Otras fuentes son las evaluaciones independientes
y los terceros, como proveedores, clientes, auditores externos.
Todas aquellas deficiencias que afecten a la capacidad de la empresa para implantar y
desarrollar su estrategia como el establecer y alcanzar sus objetivos deben ser informadas no
sólo al responsable de la función o actividad implicada, sino, también, al menos, al nivel
inmediatamente superior. Un nivel superior de la dirección proporciona al apoyo necesario o
supervisión para tomar las decisiones correctas, además se puede comunicar con otras
personas de la organización cuyas actividades pueden estar afectadas. Es necesario
establecer un protocolo para identificar qué información se necesita a un nivel determinado
para tomar decisiones eficazmente, los supervisores lo harán para sus subordinados. Hay que
tener presente que independiente de los protocolos que existan sobre qué información debe
ser comunicada es necesario observar la implicancia de los resultados, a veces más allá de
informar también se deben evaluar procesos potencialmente defectuosos.
12. Roles y Responsabilidades
Si bien la gestión de riesgo corporativo es efectuada por distintas partes, donde cada una de
ellas contribuye de una manera importante e influye de forma directa o indirecta, ya sea en la

66
gestión de riesgo o en el proceso de esta, es importante distinguir entre cada uno de ellos, es
decir, entre aquellos que participan y aquellos que afectan o ayudan a la entidad a conseguir
sus objetivos.
a. Personal de la entidad
Toda persona de la entidad contribuye a una gestión eficaz de riesgos corporativos, todos son
responsables de dar apoyo a los flujos de información y comunicación inherentes a la gestión
de riesgos corporativos. La gestión de riesgos corporativos es un tema que concierne a todos
y por ende los papeles y responsabilidades de cada empleado deberían definirse bien y
comunicarse eficazmente.
b. Consejo de administración
Proporciona supervisión, asesoramiento y orientación, a través de esto entrega la definición
de lo que se espera en cuanto a integridad y valores éticos y puede determinar si se cumplen
sus expectativas. Como es él quien toma las decisiones claves, tiene un rol fundamental en la
formulación de estrategias, estableciendo objetivos de alto nivel y asignando recursos.
El consejo facilita su supervisión en relación con la gestión de riesgos corporativos cuando:
 Sabe hasta qué punto la dirección ha establecido una gestión eficaz de riesgos
corporativos en la organización

 Es consciente del riesgo aceptado por la entidad y lo acepta

 Revisa la perspectiva de carteras de riesgos de la entidad y la contrasta con el riesgo

aceptado por ella.

 Está informado de los riesgos más significativos y de si la dirección está respondiendo

adecuadamente.
Los miembros del consejo deben ser capaces, objetivos e inquisitivos, deben tener un
conocimiento práctico de las actividades y entorno de la entidad; deben mantener
comunicaciones abiertas y sin restricciones con los auditores internos y externos de la entidad.
Los consejos pueden utilizar comités para llevar a cabo sus funciones, entre ellos el comité de
nombramiento, tiene en cuenta las calificaciones de los posibles miembros; el comité de
auditoría tiene un papel fundamental en la fiabilidad de la información al exterior y debe
conocer los riesgos claves relativos a ella.
13. Monitoreo
La totalidad de la gestión del riesgo empresarial es monitoreada y modificada tanto como sea
necesario.
La supervisión se logra con:
 Actividades de monitoreo continuo, que se llevan a cabo durante el curso normal de las
operaciones.

67
  Evaluaciones puntuales, realizadas por personal que no es el responsable directo de la
ejecución de las actividades. Su alcance y frecuencia de realización depende de los
resultados de la evaluación de riesgos y de la efectividad de las actividades de
monitoreo continuo.

 Una combinación de ambas formas.

La gestión del riesgo de la empresa no es solamente un proceso en serie, donde un
componente afecta únicamente el siguiente. Es un proceso multidireccional, interactivo en el
que cualquier componente puede influenciar a otro
14. Relación entre objetivos y componentes
Hay una relación directa entre los objetivos, que son, ¿qué se esfuerza en alcanzar una
entidad?, y los componentes de la gestión del riesgo de la empresa, que representa, ¿que es
necesario de alcanzar? para lograr estos objetivos. La relación se representa en una matriz
tridimensional, en forma de cubo (Figura 1).
Las cuatro categorías de objetivos - estratégica, operacional, información, y cumplimiento -
son representadas por las columnas verticales, los ocho componentes por filas horizontales,
y las unidades de una entidad por la tercera dimensión. Esta pintura retrata la capacidad de
centrarse en la totalidad de la gestión del riesgo de una entidad, o en las categorías de los
objetivos, componentes, unidades de la entidad, o cualquier subconjunto de esta.

15. Eficacia
La determinación de que si la gestión del riesgo de una entidad es "eficaz", es un juicio
resultante de un evaluación que muestra si los ocho componentes están presentes y
funcionando con eficacia. Para que los componentes estén presentes y funcionando

68
correctamente, no puede haber ninguna debilidad material, y el riesgo necesita haber sido
traído dentro del apetito de riesgo de la entidad.
Cuando la gestión del riesgo llega a ser eficaz en cada una de las cuatro categorías de
objetivos, respectivamente, la junta directiva y la gerencia tienen certeza razonable de
entender el grado en que la entidad está alcanzando los objetivos estratégicos y
operacionales, y que la divulgación de la entidad es confiable y que las leyes y regulaciones
aplicables están siendo conformadas.
Los ocho componentes no funcionarán idénticamente en cada entidad. Su uso en pequeñas
y medianas empresas, por ejemplo, puede ser menos formal y estructural. No obstante, las
entidades pequeñas todavía pueden tener una gestión del riesgo de la empresa eficaz,
mientras cada uno de los componentes estén presentes y funcionando adecuadamente.
16. Limitaciones
A pesar de que la gestión de riesgos proporciona ventajas importantes, las limitaciones
existen. Además de los factores discutidos arriba, las limitaciones resultan de realidades tales
como que el juicio humano en la toma de decisiones puede ser errado, las decisiones sobre
cómo responder al riesgo estableciendo controles necesita considerar los costos y ventajas
relativas, las interrupciones pueden ocurrir debido a fallas humanas, los controles se pueden
evitar por la colusión de dos o más personas, y la gerencia tiene la capacidad de eliminar
decisiones de la gestión del riesgo de la empresa.
Estas limitaciones imposibilitan al directorio y a la gerencia un aseguramiento absoluto en
cuanto al logro de los objetivos de la entidad.
17. Control Interno abarcado
El control interno es una parte integral de la gestión del riesgo de la empresa. Este marco de
gestión abarca el control interno, formando una conceptualización y una herramienta más
concreta para la gerencia. Este se define y describe en el marco integrado de control interno.
Debido a que este marco ha estado a prueba durante el tiempo y es la base para las reglas,
regulaciones, y leyes existentes, tal documento se mantiene como definición y marco
estructural para el control interno. Mientras que solamente porciones del texto del marco
integrado de control interno se reproducen en esta estructura, la totalidad de ese marco es
incorporado.
18. Papeles y responsabilidades
Cada persona en una entidad tiene cierta responsabilidad en la gestión del riesgo de la
empresa. El director ejecutivo es en última instancia responsable y debe asumir la
responsabilidad. Otros encargados apoyan la filosofía de la gestión del riesgo en la entidad,
promueven el cumplimiento con su apetito del riesgo, y manejan a este dentro de sus esferas
de responsabilidad. Un oficial de riesgo, un oficial financiero, el interventor interno, y otros,
tienen generalmente responsabilidades de apoyo claves.
Otro personal de la empresa es responsable de realizar la gestión de riesgos de acuerdo con
directivas y protocolos establecidos. La junta directiva proporciona un importante descuido a
la gestión, pero se entera de lo que concurre con el apetito de riesgo de la entidad. Un número
de partes externas, tales como clientes, vendedores, socios de negocio, interventores
externos, reguladores, y analistas financieros proporcionan a menudo la información útil para

69
efectuar la gestión del riesgo, pero no son responsables de la eficacia, ni son parte de la
gestión empresarial.
VIII. ESTANDAR AUSTRALIANO PARA LA ADMINISTRACION DE RIESGO

1. Alcance y Aplicación

a. Alcance
El Estándar Australiano provee una guía genérica para el establecimiento e implementación
del proceso de administración de riesgos, involucrando la identificación, evaluación,
tratamiento, comunicación y monitoreo de los riesgos.
b. Aplicación
Administración de riesgos es el término aplicado a un método lógico y sistemático de
establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos
asociados con una actividad, función o proceso de forma tal que permita a las organizaciones
minimizar pérdidas y maximizar oportunidades. Es un proceso iterativo que consta de varias
etapas que, al ser ejecutadas en secuencia, posibilitan una continua mejora del proceso de
toma de decisiones, siendo reconocida como parte integral de las buenas prácticas
gerenciales.
Este Estándar puede ser aplicado a todas las etapas de la vida de una actividad, función,
proyecto, producto o activo. Siendo de vital importancia aplicar el proceso de administración
de riesgos lo más tempranamente posible para obtener el máximo beneficio. A menudo se
llevan a cabo una cantidad de estudios diferentes en las diferentes etapas de un proyecto.
2. Requerimientos de administración de riesgos

a. Propósito
Esta sección tiene como objetivo detallar un proceso formal, estableciendo con ello un
programa sistemático de administración de riesgos Para lo cual se requiere el desarrollo de
una política organizacional de administración de riesgos y un mecanismo de soporte que
proporcionen una estructura, con el fin de llevar a cabo un programa de administración de
riesgos más detallado a nivel suborganizacional o de proyecto.
b. Política de Administración de Riesgos
La alta dirección de la organización es la encargada de definir y documentar la política de
administración de riesgos, estableciendo objetivos claros y su propio compromiso para una
correcta administración.
Esta política debe ser relevante en el contexto estratégico de la organización, y para sus
metas, objetivos y la naturaleza de su negocio.
Al respecto la gerencia será la encargada de velar por que la política sea comprendida,
implementada y mantenida en todos los niveles de la organización.
c. Planeamiento y Recursos

70
  Compromiso Gerencial
La organización debe certificar que se establezca, implemente y mantenga un sistema de
administración de riesgos, según el Estándar y que se reporte el desempeño del sistema de
administración de riesgos a la alta dirección de la organización para su revisión y como base
para su mejora.
 Responsabilidad y Autoridad
Se debe precisar y documentar la responsabilidad y autoridad del personal que realiza y
verifica el trabajo pertinente a la administración de riesgos, especialmente en el caso de
personas que requieren libertad y autoridad organizacional para realizar una o más de las
siguientes labores:
 Iniciar acciones para prevenir o reducir los efectos adversos de los riesgos

 Controlar el tratamiento posterior de los riesgos para que estos se encuentren en un

nivel aceptable

 Identificar y registrar cualquier problema concerniente a la administración de riesgos

 Iniciar, recomendar o proveer soluciones a través de los canales asignados

 Verificar la implementación de soluciones

 Comunicar y consultar interna y externamente según corresponda.

d. Recursos
La organización debe proveer los recursos necesarios para realizar una correcta
administración de riesgos, al mismo tiempo que proporciona el personal entrenado para las
actividades de administración, desempeño del trabajo y verificación incluyendo la revisión
interna.
e. Programa de Implementación
Para la implementación de un efectivo sistema de administración de riesgos se requiere seguir
una serie de pasos que dependiendo de la filosofía, cultura y estructura general de
administración de riesgos de la organización, son posibles de combinar u omitir, no obstante,
deberían considerarse todos los pasos.
f. Revisión Gerencial
La alta dirección de la organización tiene la responsabilidad de asegurar que se efectúe una
revisión del sistema de administración de riesgo en intervalos de tiempo específicos y
suficientes para asegurar que el sistema es efectivo y se encuentra en conformidad para
satisfacer los requerimientos del Estándar, de las políticas y de los objetivos de administración
de riesgos establecidos en la organización; debiendo llevarse un registro de tales revisiones.
3. Vista General de la Administración de Riesgos

71
 a. General
La administración de riesgos es parte integral del proceso de administración, un proceso
multifacético que es llevado a cabo más satisfactoriamente por un equipo multidisciplinario,
además de ser un proceso iterativo de mejora continua.
b. Elementos principales
Los elementos principales del proceso de administración de riesgos son los siguientes:
 Establecer el contexto estratégico, organizacional y de administración de riesgos en el
cual tendrá lugar el resto del proceso. Debiendo establecerse criterios para evaluar los
riesgos y definir la estructura del análisis.

 Identificar riesgos en cuanto a qué, por qué y cómo pueden surgir los acontecimientos,
como base para el análisis posterior.

 Analizar riesgos en base a las consecuencias y probabilidades de ocurrencia con

respecto a los controles existentes. Este análisis debe considerar el rango de
consecuencias potenciales y cuán probable es que éstas ocurran, así consecuencias y
probabilidades pueden ser combinadas para determinar un nivel de riesgo estimado.

 Evaluar riesgos contrastando niveles estimados con criterios preestablecidos, lo que

posibilita que los riesgos sean ordenados para facilitar a la administración definir sus
prioridades.

 Tratar riesgos aceptando y monitoreando aquellos de baja prioridad, para desarrollar e

implementar un plan de administración específico enfocado a los demás riesgos, que
incluya consideraciones de fondeo.

 Monitorear y revisar el desempeño del sistema de administración de riesgos y los

cambios que podrían afectarlo.

 Comunicar y consultar a los interesados internos y externos según corresponda en

cada etapa del proceso de administración de riesgos.
La administración de riesgos se puede aplicar a muchos niveles en una organización, desde
el nivel estratégico hasta niveles operativos, para contribuir con decisiones específicas o para
administrar áreas específicas reconocidas de riesgo.
Además, al ser un proceso iterativo, puede contribuir a la mejora organizacional, fortaleciendo
con cada ciclo los criterios de riesgos para alcanzar progresivamente mejores niveles de
administración de riesgos.

72
4. Proceso de Administración de Riesgos

a. Establecer el contexto General Este proceso se desarrolla dentro de la estructura del

contexto estratégico, organizacional y de administración de riesgos de una
organización. Una vez que éste ya ha sido establecido, se pueden definir los
parámetros básicos dentro de los cuales deben administrarse los riesgos, lo que
proveerá una guía para las decisiones en estudios de administración de riesgos más
detallados.

b. Establecer el Contexto Estratégico Primeramente se debe definir la relación entre la

organización y su entorno, identificando las fortalezas, debilidades, oportunidades y
amenazas. Se debe además identificar los interesados internos y externos
considerando sus objetivos, tomando en cuenta sus percepciones, y creando instancias
de comunicación con estas partes. Este contexto estratégico incluye aspectos
financieros, operativos, competitivos, políticos, sociales, de clientes, culturales y legales
competentes a las funciones de la organización

c. Establecer el Contexto Organizacional Antes de comenzar el estudio de

administración de riesgos, es necesario comprender la organización y sus capacidades,
así como sus metas, objetivos y las estrategias que están vigentes para lograrlos.

73
 Su importancia se refleja principalmente en las siguientes razones:

 La administración de riesgos está dentro del contexto de las metas, objetivos y

estrategias de la organización.

 La posibilidad de falla en lograr los objetivos de la organización, en llevar a cabo una

actividad específica, o concretar un proyecto son un conjunto de riesgos que deben ser
administrados.

 La política y metas de la organización ayudan a definir los criterios que permiten decidir
si un riesgo es aceptable o no, y constituye la base para el tratamiento de las opciones.

d. Establecer el Contexto de Administración de Riesgos Se deben establecer las

metas, objetivos, estrategias, alcance y parámetros de la actividad, o parte de la
organización a la cual se está aplicando el proceso de administración de riesgos.

Dicho proceso se debe llevar a cabo considerando la necesidad de balancear costos,

beneficios y oportunidades, además de identificar los recursos requeridos y los registros
que se realizarán.

Para establecer el alcance y los límites de la aplicación del proceso de administración

de riesgos se debe:

 Definir el proyecto o actividad y establecer las metas y objetivos que se pretender

alcanzar.

 Definir la extensión del proyecto en tiempo y espacio.

 Identificar cualquier estudio necesario y todos los posibles alcances de éste, teniendo
claro los objetivos y recursos requeridos. Al respecto, las fuentes genéricas de riesgo y
las áreas de impacto pueden proveer una buena guía.

 Se debe definir el alcance y amplitud de las actividades de administración de riesgos

que se llevarán a cabo. Entre los aspectos específicos que también se podrían discutir
se encuentran:

 Los roles y responsabilidades de las distintas partes de la organización que participan

en la administración de riesgos.

 Las relaciones que pudiesen existir entre el proyecto y otros proyectos o partes de la
organización.

e. Desarrollar Criterios de Evaluación de Riesgos Se debe decidir los criterios según

los cuales se va a evaluar el riesgo. Las decisiones relacionadas con aceptabilidad y
tratamiento de riesgos pueden estar basadas en criterios operativos, técnicos,

74
 financieros, legales, sociales, humanitarios entre otros. Esto depende a menudo de las
políticas, metas y objetivos internos de la organización y de los intereses de las otras
partes involucradas. Los criterios de riesgo se pueden ver afectados por requerimientos
legales y por percepciones internas y externas, por lo que resulta fundamental que sean
definidos.

Apropiadamente en un comienzo, basándose en el contexto de administración de

riesgos, pudiendo ser mejorados y modificados a medida que se identifican nuevos
riesgos particulares y se escogen técnicas de análisis de riesgo apropiadas para éstos.

f. Definir la Estructura Se debe dividir la actividad o proyecto en un conjunto de elementos

que proveen una estructura lógica para identificación y análisis de riesgos, asegurando
que no se pasen por alto riesgos significativos. El tipo de estructura seleccionada
dependerá de la naturaleza de los riesgos y del alcance del proyecto o actividad.

75
g. Identificación de Riesgos

 General En esta etapa se trata de identificar todos los riesgos que se administrarán.
Para esto es fundamental la utilización de un proceso sistemático perfectamente
estructurado, ya que riesgos potenciales que no son identificados en esta etapa son
excluidos en un análisis posterior. Esta etapa de identificación debería incluir los
riesgos, estén o no bajo control de la organización.

 Qué puede suceder La idea es elaborar una lista en la cual se identifiquen todos los
posibles eventos que podrían afectar a alguno de los elementos señalados en el punto

 Un análisis posterior más detallado permite identificar todas las posibles implicancias
de éstos.

 Cómo y por qué pueden suceder Habiendo elaborado una lista de eventos, se deben
considerar todas las posibles causas y escenarios posibles. Existen muchas maneras
de iniciarse un evento, siendo de suma importancia que no se omitan posibles causas
significativas.

 Herramientas y técnicas Los enfoques utilizados para identificar riesgos dependerán de

la naturaleza de las actividades que se están revisando y los tipos de riesgos
involucrados, entre ellos se incluyen “checklists”, juicios basados en la experiencia y en
los registros, diagramas de flujo, “brainstorming”, análisis de sistemas, análisis de
escenarios y técnicas de ingeniería de sistemas.

h. Análisis de riesgos

 General El propósito principal del análisis de riesgos es poder diferenciar los riesgos
menos relevantes de los riesgos más relevantes, para así proveer información
importante para la evaluación y tratamiento de los riesgos. El análisis debe considerar
las fuentes de riesgos, las posibles consecuencias de materializarse el riesgo y las
probabilidades de ocurrencia. Si es posible, se debe identificar los factores que afectan
a las consecuencias y a las probabilidades, por consiguiente, se analiza el riesgo
combinando estimaciones de consecuencias y probabilidades en el contexto de las
medidas de control existentes.

Una alternativa para facilitar el proceso final, es efectuar un análisis preliminar con el
fin de excluir del estudio detallado los riesgos similares o de bajo impacto. De ser así,
es recomendable hacer un listado con ellos para acreditar que se efectuó el análisis de
riesgos completo.

 Determinar los controles existentes Primeramente identificar todos los sistemas,

procedimientos y partes que intervienen en el proceso de control de riesgos y
posteriormente evaluar sus fortalezas y debilidades. Pueden considerarse apropiadas
las herramientas utilizadas en el punto

76
  (checklists, brainstorming), como de igual forma los enfoques tales como inspecciones
y técnicas de auto-evaluación de controles (‘CSA’).

i. Consecuencias y probabilidades
Las consecuencias y probabilidades se evalúan en el contexto de los controles existentes. Es
importante dimensionar la magnitud de las consecuencias que provocaría la materialización
del riesgo, al igual que la probabilidad de que esto ocurra. La combinación de consecuencias
y probabilidades dan como resultado un nivel de riesgo, las que se pueden determinar
utilizando análisis y cálculos estadísticos.
Alternativamente cuando no se poseen datos anteriores, se pueden efectuar estimaciones
subjetivas que manifiestan el grado de convencimiento de un individuo o un grupo de que
podrá ocurrir un evento o resultado particular.
Para evitar prejuicios subjetivos al analizar consecuencias y probabilidades, se debe utilizar
las mejores técnicas y fuentes de información disponibles.
Las técnicas incluyen lo siguiente:
 Entrevistas estructuradas con expertos en el área de interés.

 Utilización de grupos multidisciplinarios de expertos.

 Evaluaciones individuales utilizando cuestionarios.

 Uso de modelos de computador u otros.

 Uso de árboles de fallas y árboles de eventos.

Se pueden incluir las siguientes fuentes de información:

 Registros anteriores.

 Experiencia relevante.

 Prácticas y experiencia de la industria.

 Literatura relevante publicada.

 Comprobaciones de marketing e investigaciones de mercado.

 Experimentos y prototipos.

 Modelos económicos, de ingeniería u otros.

 Opiniones y juicios de especialistas y expertos.

77
 j. Tipos de análisis
El análisis de riesgo puede ser realizado con distintos grados de refinamiento dependiendo de
la información de riesgos y de los datos de que se disponga.
Dependiendo de las circunstancias el análisis puede ser cualitativo, semi-cuantitativo o
cuantitativo o combinación de los dos últimos. Estos van ascendentemente en orden de
complejidad y costos.
En la práctica, a menudo se utiliza primero el análisis cualitativo para obtener un índice general
del nivel de riesgo, para luego realizar un análisis cuantitativo más específico. El detalle de los
tipos de análisis es el siguiente:
 Análisis Cualitativo Este análisis utiliza conformaciones de palabras o niveles
descriptivos de la magnitud potencial de las consecuencias y la probabilidad de que
éstas ocurran. Estos niveles se pueden ajustar a las circunstancias y se pueden recurrir
a distintas descripciones para riesgos diferentes.

Este análisis se utiliza:

 Como una actividad inicial, para identificar los riesgos que requieren un análisis más
detallado.

 Cuando el nivel de riesgo no justifica el tiempo y esfuerzo requerido para un análisis

más completo.

 Cuando los datos numéricos son inadecuados para un análisis cuantitativo.

 Análisis Semi-cuantitativo Este análisis les asigna valores a escalas cualitativas, tales
como las descritas anteriormente. El número asignado a cada descripción no tiene que
guardar relación directa con la dimensión real de las consecuencias o probabilidades.
Los números pueden ser combinados con cualquier metodología debido a que el
sistema utilizado para priorizar confronta al sistema escogido para asignar números y
combinarlos. El propósito es realizar un ordenamiento de prioridades más detallado que
si fuera obtenido con el análisis cualitativo.

Se debe tener cuidado al aplicar este análisis debido a que se podrían generar
resultados inconsistentes producto que los números escogidos podrían no reflejar
adecuadamente las relatividades, además podría no diferenciar acertadamente entre
distintos riesgos, en especial cuando las probabilidades o consecuencias son extremas.

Ocasionalmente es pertinente considerar la probabilidad compuesta de dos elementos,

a los que se refiere generalmente como frecuencia de la exposición y probabilidad.

Este enfoque se puede aplicar en el análisis semi-cuantitativo y cuantitativo.

78
  Análisis cuantitativo Este análisis emplea valores numéricos para las consecuencias
y probabilidades, a diferencia de los dos anteriores, utilizando datos de distintas fuentes
(tales como las mencionadas anteriormente).

La calidad del análisis depende de la exactitud e integridad de los valores numéricos

utilizados. Es posible estimar las consecuencias modelando los resultados de un evento
o conjunto de eventos, o extrapolando a partir de estudios experimentales o datos del
pasado. Estas pueden ser expresadas en términos de criterios monetarios, técnicos,
humanos, etc. En algunas situaciones es requerido más de un valor numérico para
especificar las consecuencias para distintos lugares, grupos, momentos o situaciones.

La probabilidad puede ser expresada como una frecuencia, una combinación de

exposición y como una probabilidad.

 Análisis de sensibilidad Producto que algunas estimaciones efectuadas en el análisis

cuantitativo son imprecisas, es imperioso recurrir al análisis de sensibilidad para
corroborar el efecto de los cambios en los datos y en los supuestos.

k. Evaluación de Riesgos La evaluación de riesgos involucra comparar el nivel de riesgo

detectado durante el proceso de análisis con respecto a criterios de riesgo previamente
establecidos, ambos considerados sobre una base común.

Es así como la evaluación cualitativa involucra la comparación de un nivel cualitativo

de riesgo con criterios cualitativos, y la evaluación cuantitativa involucra la comparación
de un nivel numérico de riesgo con criterios que pueden ser expresados
numéricamente.

El producto de una evaluación de riesgo es una lista de riesgos con prioridades para
una acción posterior.

Deberían considerarse los objetivos de la organización y el grado de oportunidad que

podrían resultar de tomar el riesgo.

Las decisiones deben tener en cuenta el amplio contexto del riesgo e incluir
consideración de la tolerabilidad de los riesgos sostenidos por las partes fuera de la
organización que se benefician de ellos.

Si los riesgos resultantes pueden ser considerados dentro de las categorías de riesgos
bajos o aceptables, pueden ser aceptados con un tratamiento futuro mínimo, pero
debiendo ser monitoreados y revisados periódicamente para asegurar la mantención
de su estado aceptable.

l. Tratamiento de los Riesgos

El tratamiento de los riesgos conlleva la identificación y evaluación del rango de las posibles
opciones para administrar los riesgos, además de la preparación de planes para el tratamiento
que se les entregará y su implementación.

79
 Identificar opciones para tratamiento de los riesgos La Figura 3.3 ilustra el proceso de
tratamiento de los riesgos. Las opciones, que no son necesariamente mutuamente
exclusivas y apropiadas en todas las circunstancias, incluyen lo siguiente:

 Evitar el riesgo decidiendo no proceder con la actividad que probablemente generaría

el riesgo (cuando esto es practicable).

 Evitar riesgos puede ocurrir inadecuadamente por una actitud de aversión al riesgo,
tendencia muy común que a menudo es influenciada por el sistema interno de una
organización.

 Evitar inadecuadamente algunos riesgos puede aumentar la significación de otros.

 La aversión a riesgos tiene como resultado:

 decisiones de evitar o ignorar riesgos independientemente de la información disponible

y de los costos incurridos en el tratamiento de esos riesgos.

 fallas en tratar los riesgos

 dejar las opciones críticas y/o decisiones en otras partes

 diferir las decisiones que la organización no puede evitar

 seleccionar una opción porque representa un riesgo potencial más bajo

independientemente de los beneficios.

 Reducir la probabilidad de la ocurrencia

 Reducir las consecuencias

 Transferir los riesgos: lo que involucra que otra parte soporte o comparta parte del
riesgo. Los mecanismos incluyen el uso de contratos, arreglos de seguros y estructuras
organizacionales tales como sociedades y “joint ventures”. La transferencia de un
riesgo a otras partes, o la transferencia física a otros lugares, reducirá el riesgo para la
organización original, pero puede no disminuir el nivel general del riesgo para la
sociedad. Cuando los riesgos son total o parcialmente transferidos, la organización |que
los transfiere ha adquirido un nuevo riesgo, que la organización a la cual ha transferido
el riesgo no pueda administrarlo efectivamente.

 Retener los riesgos: Luego de que los riesgos hayan sido reducidos o transferidos,
podría haber riesgos residuales que sean retenidos. Por ello se debe poner en práctica
planes para administrar las consecuencias de esos riesgos si los mismos ocurrieran,
incluyendo identificar medios de financiarlos. Los riesgos también pueden ser retenidos
en forma predeterminada, ej. cuando hay una falla para identificar y/o transferir
apropiadamente o de otro modo tratar los riesgos.

80
 Figura 3.3 Proceso de Tratamiento de Riesgos

Al hablar de control de riesgos se hace referencia a la reducción de consecuencias y

probabilidades de ocurrencia que éstos puedan presentar.
Es así como el control de riesgos implica determinar el beneficio relativo de nuevos controles
a la luz de la efectividad de los controles existentes. Pudiendo los controles involucrar políticas
de efectividad, procedimientos o cambios físicos.
m. Evaluar opciones de tratamiento de los riesgos Las opciones deberían ser evaluadas
sobre la base del alcance de la reducción del riesgo, y el alcance de cualquier beneficio
u oportunidad adicional creadas, tomando en cuenta los criterios desarrollados en el
punto

81
Pueden considerarse y aplicarse una cantidad de opciones ya sea individualmente o
combinadas.
La selección de la opción más apropiada involucra balancear el costo de implementar cada
opción contra los beneficios derivados de la misma. En general, el costo de administrar los
riesgos necesita ser conmensurada con los beneficios obtenidos, así si es posible obtener
grandes reducciones en el riesgo con un gasto relativamente bajo, tales opciones deben
implementarse.
Otras opciones de mejoras pueden ser no económicas y se necesitará ejercer el juicio para
establecer si son justificables. Esto se ilustra en la Figura 3.4.
Las decisiones deberían tener en cuenta la necesidad de considerar cuidadosamente los
riesgos raros pero severos, que podrían justificar medidas de seguridad que no son
justificables por fundamentos estrictamente económicos.

En general el impacto adverso de los riesgos debería hacerse tan bajo como sea
razonablemente practicable, independientemente de cualquier criterio absoluto.
Si el nivel de riesgo es alto, pero podrían resultar oportunidades considerables si se lo asume,
entonces la aceptación del riesgo necesita estar basada en una evaluación de los costos de
tratamiento y los costos de rectificar las consecuencias potenciales versus las oportunidades
que podrían depararse de tomar el riesgo.
En muchos casos, es improbable que cualquier opción de tratamiento del riesgo sea una
solución completa para un problema particular. A menudo la organización se beneficiará
sustancialmente mediante una combinación de opciones tales como reducir la probabilidad de
los riesgos, reducir sus consecuencias, y transferir o retener algunos riesgos residuales. Un

82
ejemplo es el uso efectivo de contratos y la financiación de riesgos sustentados por un
programa de reducción de riesgos.
En el caso que el costo acumulado de implementación de todos los tratamientos de riesgos
exceda el presupuesto disponible, el plan debería identificar claramente el orden de prioridad
bajo el cual deberían implementarse los tratamientos individuales de los riesgos. Dicho
ordenamiento de prioridad puede establecerse utilizando distintas técnicas, incluyendo
análisis de “ranking” de riesgos y de costo-beneficio. Sí los tratamientos de riesgos no pueden
ser implementados dentro de los límites del presupuesto disponible se debe esperar la
disponibilidad de recursos de financiamiento adicionales, o, si por cualquier razón todos o
algunos de los tratamientos restantes son considerados importantes, debe plantearse el
problema para conseguir el financiamiento adicional.
Las opciones de tratamiento de los riesgos deberían considerar cómo es percibido el riesgo
por las partes afectadas y las formas más apropiadas de comunicárselo a dichas partes.
n. Preparar planes de tratamiento
Los planes de tratamiento deben documentar la forma en que son implementadas las opciones
seleccionadas, identificando las responsabilidades, el programa, los resultados esperados de
los tratamientos, el presupuesto, las medidas de desempeño y el proceso de revisión a
establecer.16 Además debe incluir un mecanismo para evaluar la implementación de las
opciones contra criterios de desempeño, las responsabilidades individuales y otros objetivos.
o. Implementar planes de tratamiento
Idealmente, la responsabilidad por el tratamiento del riesgo debería ser llevada a cabo por
personal con mejor posibilidad de controlar el riesgo, debiendo ser acordadas entre las partes
lo más tempranamente posible. La implementación exitosa del plan de tratamiento del riesgo
requiere un sistema efectivo de administración que especifique los métodos seleccionados,
asigne responsabilidades y compromisos individuales por las acciones, y los monitoree
respecto de criterios especificados.
Si luego del tratamiento hay un riesgo residual, debería tomarse la decisión de si retener este
riesgo o repetir el proceso de tratamiento.
5. Monitoreo y Revisión
Se debe monitorear los riesgos, la efectividad de su plan de tratamiento, las estrategias y el
sistema de administración que se establece para controlar su implementación. Los riesgos y
la efectividad de las medidas de control necesitan ser monitoreadas para asegurar que las
circunstancias cambiantes no alteren las prioridades de los riesgos ya que pocos riesgos
permanecen estáticos.
Una revisión sobre la marcha es esencial para asegurar que el plan de administración se
mantiene relevante, debido a que pueden variar los factores que afectan las probabilidades y
consecuencias de un resultado, como también los factores que afectan la conveniencia o
costos de las distintas opciones de tratamiento. En consecuencia, es necesario repetir
regularmente el ciclo de administración de riesgos, siendo la revisión una parte integral del
plan de tratamiento de la administración de riesgos.
6. Comunicación y Consulta

83
La comunicación y consulta son una consideración importante en cada paso del proceso de
administración de riesgos, por ello se debe desarrollar un plan de comunicación para los
interesados internos y externos en la etapa más temprana del proceso, él que debe incluir
aspectos relativos al riesgo en sí mismo y al proceso para administrarlo.
La comunicación y consulta involucra un diálogo en ambas direcciones entre los interesados,
con el esfuerzo focalizado en la consulta más que un flujo de información en un sólo sentido
del tomador de decisión hacia los interesados.
Al respecto cabe destacar que la comunicación efectiva interna y externa es importante para
asegurar que aquellos responsables por implementar la administración de riesgos, y aquellos
con intereses creados comprenden la base sobre la cual se toman las decisiones y por qué se
requieren ciertas acciones en particular.
Las percepciones de los riesgos pueden variar debido a diferencias en los supuestos,
conceptos, necesidades, aspectos y preocupaciones de los interesados, según se relacionen
con el riesgo o los aspectos bajo discusión. Los cuales probablemente harán juicios de
aceptabilidad de los riesgos basados en su percepción de estos.
Dado que los interesados pueden tener un impacto significativo en las decisiones tomadas, es
importante que sus percepciones de los riesgos, así como, sus percepciones de los beneficios
sean identificados y documentados.
7. Documentación

a. General En el proceso de administración de riesgos se debe documentar cada una de

sus etapas. Dicha documentación debe incluir los supuestos, los métodos, las fuentes
de datos y los resultados.

b. Razones para la Documentación Las razones por las cuales se debe documentar son
las siguientes:

 Demostrar que el proceso es conducido apropiadamente

 Proveer evidencia de enfoque sistemático de identificación y análisis de riesgos

 Proveer un registro de los riesgos y desarrollar la base de datos de conocimientos de

la organización

 Proveer a los encargados de tomar decisiones relevantes de un plan de administración

de riesgos para aprobación y subsiguiente implementación

 Proveer un mecanismo y herramienta de responsabilidad

 Facilitar el continuo monitoreo y revisión

 Proveer una pista de auditoria

84
  Compartir y comunicar información. Las decisiones concernientes al alcance de la
documentación involucran tanto costos como beneficios, por lo cual se hace necesario
tomar en consideración todos los factores anteriormente mencionados.

Anexos

A. Pasos en el desarrollo e implementación de un programa de administración de

riesgos
Paso 1: Respaldo de la alta gerencia
Desarrollar una filosofía de administración de riesgos organizacional y toma de conciencia
sobre ‘riesgos’ a nivel de la alta gerencia. Lo que se facilita mediante el entrenamiento,
educación y síntesis enfocado a la gerencia ejecutiva.
Para lo cual se requiere:
 apoyo permanentemente activo del presidente (CEO) de la organización.

 la iniciativa sea patrocinada por un gerente ejecutivo principal o una persona de similar
autoridad o poder.

 Pleno apoyo de todos los principales ejecutivos.

Paso 2: Desarrollar la política organizacional

Desarrollar y documentar una política y estructura corporativa para administrar los riesgos, a
ser endosada por el ejecutivo de la organización e implementada en toda la organización. La
política debe incluir información tal como:
 los objetivos de la política y explicación para administrar los riesgos

 los vínculos entre la política y el plan estratégico / corporativo de la organización

 el alcance, o el rango de aspectos a los cuales se aplica la política

 guía de lo que puede ser considerado como riesgo aceptable

 quién es responsable por administrar riesgos

 el apoyo / capacidad disponible para asistir a los responsables de administrar riesgos

 el nivel de documentación requerido

 el plan para revisar el desempeño organizacional en relación con la política.

Paso 3: Comunicar la política

85
Desarrollar, establecer e implementar una infraestructura o medidas para asegurar que la
administración de riesgos se convierta en una parte integral de los procesos de planeamiento
y administración y de la cultura general de la organización. Esto puede incluir:
 establecer un equipo que comprenda personal de alta gerencia para ser responsable
por las comunicaciones internas acerca de la política

 procurar la toma de conciencia acerca de la administración de riesgos

 comunicación / diálogo en toda la organización acerca de administración de riesgos y

la política de la organización

 adquirir pericia en administración de riesgos, ej: consultores, y desarrollar destrezas en

el personal a través de la educación y capacitación

 asegurar niveles apropiados de reconocimiento, recompensas y sanciones

 establecer procesos de administración de desempeño.

Paso 4: Administrar riesgos a nivel organizacional
Desarrollar y establecer un programa para administrar riesgos a nivel organizacional mediante
la aplicación del sistema de administración de riesgos descrito anteriormente. Este proceso
de administración de riesgos debe estar integrado con los procesos de planeamiento
estratégico y administración de la organización. Lo cual involucrará documentar:
 el contexto de la organización y de la administración de riesgos
 los riesgos identificados para la organización
 el análisis y evaluación de estos riesgos
 las estrategias de tratamiento
 los mecanismos para revisar el programa
 las estrategias para procurar la toma de conciencia, la adquisición de pericia
 la capacitación y la educación.

Paso 5: Administrar riesgos a nivel de programa, proyecto y equipo

Desarrollar y establecer un programa para administrar los riesgos para cada área
suborganizacional, programa, proyecto o actividad de equipo a través de la aplicación del
proceso de administración de riesgos descrito en el punto 3.4.
El proceso para administrar riesgos debería estar integrado con otras actividades de
planeamiento y administración. Debiendo documentarse el proceso seguido, las decisiones
tomadas y las acciones planeadas.
Paso 6: Monitorear y revisar
Desarrollar y aplicar mecanismos para asegurar revisiones de los riesgos sobre la marcha.
Esto asegurará que la implementación y la política de administración de riesgos mantendrán
86
su relevancia, dado que las circunstancias cambian constantemente en el tiempo, haciéndose
vital la revisión de las decisiones anteriores, tomando en consideración que los riesgos no son
estáticos.
También se debe realizar una revisión y monitoreo de la efectividad del proceso de
administración de riesgos.
a. Interesados
Interesados son aquellos individuos que están, o perciben estar, afectados por una decisión o
actividad.
Ellos pueden incluir:
 individuos dentro de la organización, tales como los empleados, la gerencia, la alta
gerencia, y voluntarios
 tomadores de decisiones
 contrapartes de negocios o comerciales
 grupos de empleados
 grupos sindicales
 instituciones financieras
 organizaciones de seguros
 reguladores y otras organizaciones gubernamentales que tienen autoridad sobre las
actividades
 políticos (a todos los niveles del gobierno) que pudieran tener un interés electoral o de
cartera
 organizaciones no-gubernamentales tales como grupos ambientales y grupos de
interés público
 clientes
 proveedores, proveedores de servicios y contratistas para la actividad
 los medios, que son interesados potenciales, como también, conductos de información
a otros interesados
 individuos o grupos que están interesados en aspectos relacionados con la propuesta
 comunidades locales
 la sociedad como un todo.

La combinación de interesados puede variar con el tiempo. Así nuevos interesados pueden
unirse y desear ser considerados, mientras que otros podrían quedar excluidos al no estar
más involucrados en el proceso. Consecuentemente, el proceso de análisis de interesados

87
debe ser continuo, y como tal, debe ser parte integrante del proceso de administración de
riesgos.
El nivel de preocupación de los interesados puede cambiar en respuesta a nueva información,
ya sea porque se han encarado las necesidades y preocupaciones de los interesados, o
porque nueva información ha dado lugar a nuevas necesidades, aspectos o preocupaciones.
Nótese además que distintos interesados podrían tener diferentes opiniones y diferentes
niveles de conocimiento en relación con un aspecto en particular.
B. Fuentes genéricas de riesgo y sus áreas de impacto

1. General
La identificación de fuentes de riesgo y áreas de impacto provee una estructura para la
identificación y análisis de riesgos. A raíz de la gran cantidad potencial de fuentes e impactos,
desarrollar una lista genérica focaliza las actividades de identificación de riesgos y contribuye
a una administración más efectiva.
Las fuentes de riesgo y áreas de impacto genéricas son seleccionadas de acuerdo a su
relevancia para la actividad bajo estudio.
Los componentes de cada categoría genérica pueden formar la base para un estudio completo
de riesgos.
2. Fuentes de riesgo
Cada fuente genérica tiene numerosos componentes, los cuales pueden dar lugar a un riesgo.
Algunos de esos componentes estarán bajo control de la organización que realiza el estudio,
mientras que otros estarán fuera de su control. Siendo necesarios ambos tipos cuando se
identifican los riesgos.
Las fuentes genéricas de riesgo incluyen:

 Relaciones comerciales y legales entre la organización y otras organizaciones, ej

proveedores, subcontratistas, arrendatarios.
 Circunstancias económicas de la organización, país, internacionales, como asimismo
factores que contribuyen a esas circunstancias ej. tipos de cambio.
 Comportamiento humano tanto de los involucrados en la organización como de los que
no lo están.
 Eventos naturales.
 Circunstancias políticas incluyendo cambios legislativos y factores que pudieran
influenciar a otras fuentes de riesgo.
 Aspectos tecnológicos y técnicos tanto internos como externos a la organización.
 Actividades y controles gerenciales
 Actividades individuales.

3. Áreas de impacto
El análisis de riesgo se puede concentrar en impactos solamente en un área o en varias áreas
posibles de impacto.

88
Las áreas de impacto incluyen a las siguientes:
 Base de activos y recursos de la organización, incluyendo al personal
 Ingresos y derechos
 Costos de las actividades, tanto directos como indirectos
 Gente
 Comunidad
 Desempeño
 Cronograma y programa de actividades
 El ambiente
 Intangibles tales como la reputación, gestos de buena voluntad, calidad de vida.
 Comportamiento organizacional.

4. Identificación de riesgos
Un método de resumir la forma en la cual surgen los riesgos en una organización es utilizando
una plantilla de identificación de riesgos del tipo que se muestra en la Tabla D1. Las entradas
pueden realizarse con marcas para mostrar donde ocurren los riesgos, o con notas
descriptivas más detalladas.
5. Otras clasificaciones de riesgo
Distintas disciplinas a menudo categorizan las fuentes de riesgo de diferente forma, utilizando
términos tales como azares o exposiciones de riesgo. Estas clasificaciones pueden ser
subconjuntos de las fuentes de riesgo listadas anteriormente (D2).
Los siguientes son algunos ejemplos:
 Enfermedades: afectando a humanos, animales y plantas.
 Económicos: fluctuaciones en la moneda, tasas de interés, mercado accionario.
 Ambientales: ruidos, contaminación, polución.
 Financieros: riesgos contractuales, malversaciones de fondos, fraudes, multas.
 Humanos: motines, huelgas, sabotajes, errores.
 Desastres naturales: condiciones climáticas, terremotos, incendios de bosques, plagas,
actividad volcánica.
 Salubridad y seguridad ocupacional: medidas de seguridad inadecuadas,
administración de seguridad pobre.
 Responsabilidad por productos: errores de diseño, calidad bajo estándar, pruebas
inadecuadas.
 Responsabilidad profesional: consejo equivocado, negligencia, error de diseño.

89
  Daños a la propiedad: fuego, inundaciones, terremotos, contaminación, error humano.
 Responsabilidad pública: acceso, egreso y seguridad públicas.
 Seguridad: desfalcos, vandalismo, robo, apropiación indebida de información,
penetración ilegal.
 Tecnológicos: innovación, obsolescencia, explosiones y dependencia.

Las fuentes de riesgo y las áreas de impacto deberían adaptarse para la organización o
actividad particular

90
Las medidas utilizadas deberían reflejar las necesidades y naturaleza de la organización y
actividad bajo estudio.

Estas tablas necesitan ser adaptadas para satisfacer las necesidades de una organización en
particular.

La cantidad de categorías deberían reflejar las necesidades del estudio.

Leyenda:

E: riesgo extremo; requiere acción inmediata.

H: riesgo alto; necesita atención de la alta gerencia.

M: riesgo moderado; debe especificarse responsabilidad gerencial.

L: riesgo bajo; administrar mediante procedimientos de rutina.

91